Sektörel

Intel, güvenlik açıklarının yarısını Bug Bounty programıyla tespit etti

Şirketlerin ve kuruluşların sahip oldukları yazılımların güvenliğini test etmek amacıyla dışarıdan hackerlara ve yazılımcılara yönelik gerçekleştirdiği ve zafiyetleri bulmaları karşılığında ödüllendirdiği bir program olan Bug Bounty güvenilirliğini kanıtlamaya devam ediyor.

İşlemci devi Intel’in kendi uzmanları tarafından yürütülen araştırma ve dışarıdan destek alınan hata ödül programları (bug bounty yarışmaları) işbirliği ile şirketin yazılımındaki güvenlik zaafiyetlerinin çok büyük kısmı tespit edildi. 

Bu, Intel’in dahili araştırma ekipleri ve gerçekleştirdikleri bug bounty yarışmalarına yaptığı yatırımların meyvesini verdiği anlamına geliyor. Üst üste iki yıl boyunca, Intel’in ürünlerinde bulunan güvenlik açıklarının büyük çoğunluğu (yüzde 92) özellikle dahili araştırma ekiplerinin çabalarından ve hata ödül programları yoluyla tespit edildi.  

DARPA, ilk bug bounty yarışmasından geçer not aldı: Sistemler yazılım tabanlı donanım tehditlerine dayanıklı çıktı

AÇIKLARIN YÜZDE 45’İ BUG BOUNTY VASITASIYLA TESPİT EDİLDİ

Şirketin “2020 Ürün Güvenliği” raporuna göre, 2020’de Intel ürünlerinde bildirilen 231 güvenlik açığından 109’u (yüzde 47) Intel çalışanları tarafından bulunurken, 105’i (yüzde 45) bir hata ödül programına katılan harici araştırmacılar tarafından tespit edildi. Şirket, farklı farklı programlara ne kadar yatırım yaptığını ayrıntılı olarak açıklamazken, hata ödül programları için yılda ortalama 800 bin dolar ödediğini belirtti.

Intel’in Güvenlik İletişim Direktörü Jerry Bryant, şirketin güvenlik konusundaki çok yönlü yaklaşımını sürdüreceğini ifade etti ve ekledi: “Güvenlik bir kez yatırım yapılıp bırakılabilecek bir şey değil” Güvenlik geliştirme uygulamalarının iyinin ötesinde bir konumda olması gerektiğini belirten Bryant, “Bu, şirketinizde bir zihniyete dönüşmeli, güvenlik açığı yönetim süreçlerine yatırım yapmalısınız.”  

RAPOR BUG BOUNTY’NİN ÖNEMİNİ ORTAYA KOYUYOR

Rapor, uygulama ve yazılım geliştiricileri için hata ödül programlarının ne derece önemli olduğunu göstermesi bakımından dikkat çekici.  Beş yıl öncesine kadar birçok şirket hata ödül programlarının etkinliğini tartışıyordu. Ancak şimdilerde çoğu şirket harici araştırmacılarla işbirliği yapılmasına artan oranda önem veriyor.  

Intel, şirketin Ürün Güvencesi ve Güvenlik Grubunu kurmasının ardından 2018’de kendi hata ödül programını başlatmıştı. Rapor, şirketin söz konusu çabalarının karşılığını aldığını ortaya koyuyor. Ödül programları aracılığıyla sürece dahil olan harici araştırmacılar, Intel’in ana konusu olan işlemciler, ağ oluşturma ve grafik platformları üzerinde daha fazla etkiye sahip olma eğiliminde olan daha karmaşık ürün yazılımı veya donanım güvenlik açıklarını aramak yerine, genellikle yazılım sürücülerine odaklandı. Raporda, şirketin dahili araştırmacılarının aygıt yazılımı ile ilgili güvenlik sorunlarının yüzde 69’unu ve donanım sorunlarının yüzde 57’sini tespit ettiği belirtildi.

Intel raporda” harici araştırmacılar tarafından bulunan sorunların büyük bir kısmı, çoğunlukla grafik, ağ oluşturma ve Bluetooth bileşenleri için yazılım desteği ve yazılım sürücülerinden oluşan yazılımlarla ilgiliydi. Bunlar ele alınması gereken önemli konular olsa da, ürün aygıt yazılımımız, platformlarımıza olan güven noktasında temel teşkil ediyor ve veriler bunun iç güvenlik araştırmamızın öncelikli hususu olduğunu gösteriyor.”

Intel’in dahili araştırma ekibi veya hata ödül programı dışında bir yöntemle tespit edilen güvenlik açığı sayısının sadece 17 olduğu bildirildi.  Şirket, bu araştırmacılara Intel’in ortaklarının, müşterilerinin ve ödül motivasyonu olmayan kuruluşların dahil olduğunu söyledi. 

Apple’dan bug bounty avcılarına ödül : Hindistanlı beyaz şapkalı hackerlar 50 bin dolar kazandı

EN FAZLA GÜVENLİK AÇIĞI SÜRÜCÜLERDE VE DİĞER YAZILIM BİLEŞENLERİNDE TESPİT EDİLDİ

En fazla güvenlik açığı (93), sürücülerde ve diğer yazılım bileşenlerinde meydana gelirken, cihaz yazılımında 66, cihaz yazılımı ve yazılımda 58 güvenlik açığı tespit edildi.  En az sayıda güvenlik açığı (14) donanımı (işlemciler vb.) etkiledi. Branching speculative execution’daki (spekülatif yürütme) gözden kaçan sorunların neden olduğu Spectre ve Meltdown tasarım zaafiyetleri gibi donanım güvenlik açıkları, ürün üretildikten sonra düzeltilmesi veya hafifletilmesi çok zor zaafiyetler olarak biliniyor. 

Rapora göre, genel olarak, grafik bileşenleri (22), güvenlik açıklarının en büyük bölümünü oluşturdu. Bunların neredeyse yarısı yüksek riskli olarak sıralandı. En kritik güvenlik açıkları, herhangi bir Intel tabanlı bilgi işlem platformunun güven ölçümünün temelini oluşturan Intel Güvenlik ve Yönetim Motoru’nda (CSME) meydana geldi. 

Hata ödülleri programı vasıtasıyla bildirilen güvenlik açıklarının sayısındaki artış göz önüne alındığında, şirketin harici araştırmacılara ayırdığı bütçeyi artıracağı düşünülüyor.  

Siber Bülten abone listesine kaydolmak için formu doldurunuz

 

Hiçbir haberi kaçırmayın!

E-Bültenimiz ile gelişmelerden haberdar olun!

İstenmeyen posta göndermiyoruz! Daha fazla bilgi için gizlilik politikamızı okuyun.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

Başa dön tuşu