OpenAI ve Anthropic gibi öncü yapay zeka laboratuvarları, en gelişmiş dil modelleri Claude Mythos ve GPT5.5'in kapsamını genişletiyor. Bu modeller, güvenlik açıklarını otonom olarak bulup yamalama yeteneğine sahip. Infosecurity Europe'da konuşan Bayer'in Grup CISO'su Kevin Jones, bu durumun yamalama döngüsünü önemli ölçüde hızlandıracağını belirtti. Bulut sağlayıcıları da dahil olmak üzere görüştüğü BT satıcıları, bir güvenlik açığının istismar edilme süresinin günlerden saatlere düştüğünü değerlendiriyor.
Jones, yama yayınlandıktan sonra saldırganların açığı tersine mühendislikle bulup istismar yazmasının ve yaymasının eskiden 7-10 gün sürdüğünü belirtti. Artık bu sürenin 6 saat 40 dakikaya kadar düştüğünü vurguladı. Bu hızlı istismar süresi, kuruluşların yama stratejilerini kökten değiştirmelerini gerektiriyor. Yapay zeka destekli güvenlik açığı tespit sistemleri, bu tehditlere karşı daha hızlı yanıt verme potansiyeli sunuyor.
Hindistan Bilgisayar Olaylarına Müdahale Ekibi (CERT-In), bu artan tehditlere yanıt olarak 12 saatlik bir yama süresi zorunluluğu getirdi. Buna göre, internete açık sistemlerde aktif olarak istismar edilen güvenlik açıkları 12 saat içinde yamalanmalı. Kritik açıklar için 1 gün, yüksek önem dereceli açıklar için 5 gün süre tanınıyor. Vulners gelir başkanı Andrey Lukashekov, bu tür bir zorunluluğun kararlı göründüğünü ancak büyük küresel şirketlerde lojistik bir kabusa dönüşebileceğini söyledi.
Uzmanların Görüşleri
Lukashekov, sıkı teslim tarihlerinin zaman dilimleri, onay zincirleri ve değişiklik kontrolleriyle çarpıştığını belirtti. Bu durum, iyi niyetli bir kuralın güvenli iyileştirmeyi engelleyebileceğini gösteriyor. Ona göre, bu tür zorunluluklar üreticilere ve hızlı yama dağıtımına odaklanırken, koordinasyonun mümkün olmadığı durumlarda acele düzeltmelere veya bozulan değişiklik süreçlerine yol açma riski taşıyor.
Lukashekov, AB'nin Siber Dayanıklılık Yasası (CRA) kapsamındaki yaklaşımını daha açık bir şekilde üretici merkezli olarak tanımladı. CRA, satıcıların ürün güvenliğine sahip çıkmasını zorunlu kılıyor ve güvenli geliştirme, ifşa ve kullanıcı bildirimi için yükümlülükler getiriyor. Lukashekov, bu yaklaşımın politika açısından mantıklı olduğunu, çünkü yasal sorumluluğu kodu oluşturan taraflarla uyumlu hale getirdiğini ancak uyumluluğun otomatik olarak istismar süresini kısaltmadığını belirtti.
Nasıl Önlem Alınmalı?
VulnCheck ürün mühendisliği başkan yardımcısı Michael Price, AB'nin satıcı odaklı duruşunu ABD'de gördüğü daha pazar odaklı ve kullanıcı merkezli yaklaşımla karşılaştırdı. AB'nin, yazılım üreticilerine daha güvenli ürünler tasarlama ve teslim etme yükümlülüğü getirerek sorumluluğu yukarı taşımaya çalıştığını söyledi. Bu, yeniliği yavaşlatma pahasına sistemik iyileştirmeler sağlayabilir. ABD modelinde ise yük genellikle kullanıcılar ve operatörler üzerinde kalıyor.
Price, ABD'de düzenlemeden kaçınma vurgusu olduğunu, çünkü düzenleyicilerin büyümeyi yavaşlatabileceğini belirtti. Sonuç olarak birçok şirket güvenlik yerine pazara çıkış süresini optimize ediyor. Bu, müşterileri güvenli olmayan varsayılanları yamalama, önceliklendirme ve telafi etme zorluğuyla baş başa bırakıyor. Lukashekov, ABD'de pazar baskısı, sorumluluk değerlendirmeleri ve gönüllü standartların birleştiğini, tek bir kuralın olmadığını ekledi.
Kaynak: infosecurity-magazine.com