Önde gelen öncü yapay zeka laboratuvarlarından ikisi olan OpenAI ve Anthropic, en gelişmiş büyük dil modelleri (LLM'ler) olan Claude Mythos ve GPT5.5'e erişimi genişletirken, güvenlik açıklarını özerk bir şekilde bulma ve düzeltme yeteneklerinin kanıtlarıyla birlikte kuruluşların kusurları düzeltme şekli de gelişiyor.
Birincisi, pek çok şirkette yama yaşam döngüsünün hızlanması muhtemeldir. Infosecurity Europe'da konuşan Bayer Grup CISO'su Kevin Jones, aralarında bulut hiper ölçekleyicilerin de bulunduğu BT tedarikçilerinin, bir güvenlik açığından yararlanmak için gereken ortalama sürenin günlerden saatlere çıktığını değerlendirdiğini söyledi.
"Normalde, ortada halka açık bir istismar olmadığı bilinen bir yama yayınlandıktan sonra, bu yamayı ölçeklendirmek, birkaç izole sisteme dağıtmak, test etmek, internete bakan sistemlerinize dağıtmak için kendinize yedi ila 10 gün süre verirsiniz. Bu, saldırganların onu gerçekten tersine mühendislik yapması, güvenlik açıklarını bulması, açıkları yazması, açıkları dağıtması ve ölçeklendirmesi için gereken pencereydi" diye açıkladı.
Satıcılar ona, tehdit aktörlerinin ortada bilinen bir istismar bulunmayan bir yamanın yayınlanması ile birisinin bu güvenlik açığından yararlanmaya başlaması arasında geçen sürenin altı saat 40 dakikaya kadar sürdüğünü söyledi.
Gelecekte Ne Bekleniyor?
Hindistan 12 Saatlik Yama Son Tarihlerini Tanıttı
Önemli Gelişmeler
Buna yanıt olarak, Hindistan'ın Bilgisayar Acil Durum Müdahale Ekibi (CERT-In), aktif olarak yararlanılan internete yönelik güvenlik açıklarını 12 saat içinde düzeltme, açığa çıkan kritik kusurları bir gün içinde ve yüksek önem derecesine sahip hataları beş gün içinde düzeltme beklentisiyle yakın zamanda yanıt süreleri için yeni bir çıta belirledi.
Infosecurity'ye konuşan Vulners'ın gelir sorumlusu Andrey Lukashekov, böyle bir yetkinin "kesin göründüğünü" söyledi.
Sistem Güvenliği
Ancak büyük, küresel organizasyonlarda sıkı teslim tarihlerinin zaman dilimleri, onay zincirleri ve değişiklik kontrolleriyle çatıştığını ve iyi niyetli bir kuralın, güvenli iyileştirmeyi gerçekten engelleyebilecek bir "lojistik kabusa" dönüştüğünü belirtti.
Lukashenkov'a göre bu tür yetkiler, vurguyu üreticilere ve hızlı yama dağıtımına yöneltiyor, ancak koordinasyonun mümkün olmadığı durumlarda aceleye getirilmiş düzeltmeleri teşvik etme veya değişim süreçlerini bozma riski taşıyor.
Nasıl Önlem Alınmalı?
AB ve ABD Yama Politikası Yaklaşımı: Satıcı Odaklı ve Kullanıcı Odaklı
Buna karşılık Lukashenkov, AB'nin Siber Dayanıklılık Yasası kapsamındaki yaklaşımını daha açık bir şekilde üretici merkezli olarak çerçeveledi.
Uzmanların Görüşleri
CRA'nın "ürün güvenliğine sahip olmak için satıcılara yaslandığını" ve güvenli geliştirme, açıklama ve kullanıcı bildirimi için yükümlülükler getirdiğini söyledi.
Lukashenkov, yasal sorumluluğu kodu oluşturan taraflarla aynı hizaya getirdiği için bu yaklaşımı politika açısından mantıklı olarak nitelendirdi, ancak uyumluluğun otomatik olarak kısaltılmış kullanım pencerelerine dönüşmeyeceği konusunda uyardı.
Sonuç ve Değerlendirme
"Düzenlemeler hesap verebilirlik konusunda ibreyi hareket ettirebilir ancak sağlam mimarinin ve dayanıklı operasyonların yerini alamaz" dedi.
Ayrıca Infosecurity'ye konuşan VulnCheck'in ürün mühendisliği başkan yardımcısı Michael Price, AB'nin CRA gibi kurallar altındaki satıcı odaklı duruşunu ABD'de gördüğü daha pazar odaklı, kullanıcı odaklı yaklaşımla karşılaştırdı.
Avrupa'nın, yazılım üreticilerine daha güvenli ürünler tasarlama ve sunma yönünde yasal ve teknik yükümlülükler getirerek "sorumluluğu yukarı yönde zorlamaya çalıştığını" söyledi. Bunun, maliyet ve sorumluluğu satıcılara kaydırdığını ve inovasyonu potansiyel olarak yavaşlatma pahasına da olsa sistemik iyileştirmeleri teşvik edebileceğini söyledi.
Detaylar ve Etkileri
Price, bunun tersine, ABD modelinin genellikle kullanıcılara ve operatörlere kendilerini savunma konusunda daha fazla yük getirdiğini söyledi.
Teknik Analiz
"ABD'de düzenlemeden kaçınmaya vurgu yapıldığını görüyorsunuz çünkü düzenleyiciler büyümeyi yavaşlatabilir" diye açıkladı. Sonuç olarak birçok şirket güvenlikten ziyade pazara çıkış süresini optimize ediyor.
Bunun, alt müşterilere yama yapma, öncelik verme ve güvenli olmayan temerrütleri telafi etme gibi zorlu çalışmalarla baş başa kalabileceği konusunda uyardı.
Lukashenkov, ABD uygulamasının tek bir kuralcı ritim yerine piyasa baskısını, sorumluluk hususlarını ve gönüllü standartları birleştirme eğiliminde olduğunu gözlemleyerek bu görüşe katıldı.
"ABD'de bir takım beklentilerle karşılaşıyorsunuz: alıcılar düzeltme talep ediyor, sigortacılar fiyat riski ve satıcılar yanıt veriyor, ancak herkese uyan tek bir kalıp yok" dedi.