تلاش‌های جدید برای کاهش ریسک آسیب‌پذیری‌ها و حفاظت از پژوهشگران

/در /توسط

در حالی که صنعت امنیت در بسیاری از جنبه‌ها بهبود یافته است، چالش‌های زیادی همچنان وجود دارد، به ویژه در زمینه مدیریت آسیب‌پذیری. امروز به نظر می‌رسد جامعه در یک حلقه بی‌پایان از آسیب‌پذیری‌های امنیتی گرفتار شده است – یک آسیب‌پذیری پیدا می‌شود، پچ می‌شود و سپس یکی دیگر ظاهر می‌شود – بارها و بارها. مدیریت ریسک از طریق آسیب‌پذیری‌ها و شرایط جامعه بسیار بالا است، برای بهبود‌های گام به گام بیشتر بهتر نیست. به همین دلیل پروژه صفر، یک تیم تحقیقات امنیتی مستقل از فروشندگان که در گوگل جای دارد و آسیب‌پذیری‌های روز صفر را در سیستم‌های سخت‌افزاری و نرم‌افزاری مطالعه می‌کند، در طول سال‌ها زمان‌بندی‌های پچ و افشا را برای ایمنی کاربران اولویت قرار داده است. با توجه به این کار پی‌درپی، امروز ما تحقیقات و ابتکارات جدیدی را برای کمک به خارج شدن از چرخه بی‌پایان به اشتراک می‌گذاریم و صنعت به طور کلی را به سطحی بالاتر می‌بریم.

مشکلات اکوسیستم بدون پچ

هر چند شهرت آسیب‌پذیری‌های روز صفر معمولاً با استقبال روبرو می‌شود، اما ریسک‌ها حتی پس از شناخته شدن و رفع آن‌ها باقی می‌مانند که داستان واقعی است. این ریسک‌ها شامل همه چیز از تأخیر در پذیرش OEM، نقاط نقض آزمون پچ، مشکلات به‌روزرسانی کاربران و موارد دیگر است. به علاوه، بیش از یک‌سوم آسیب‌پذیری‌های روز صفر که در سال 2022 در جهان سواستفاده شده‌اند و مورد تجزیه و تحلیل قرار گرفته‌اند، نسخه‌هایی از آسیب‌پذیری‌های قبلی پچ‌شده هستند که نتیجه پچ‌های ناقص به آسیبپذیری اصلی است. در یک گزارش سفید که امروز منتشر می‌کنیم، پیشنهاداتی در پاسخ به این ریسک‌ها ارائه می‌دهیم، از جمله:
– شفافیت بیشتر از سوی فروشندگان و دولت‌ها در بهره‌برداری از آسیب‌پذیری و پذیرش پچ برای کمک به جامعه در تشخیص اینکه آیا رویه‌های فعلی کار می‌کند یا نه.
– توجه بیشتر به نقاط اصلی اشکال در طول عمر مفید آسیب‌پذیری برای اطمینان از اینکه ریسک‌ها به کاربران به طور جامع مورد بررسی قرار می‌گیرد.
– حل دلیل اصلی آسیب‌پذیری‌ها و اولویت‌بندی روش‌های مدرن توسعه نرم‌افزار امن با توانایی بستن مسیرهای کلی حمله.

محکم کردن اکوسیستم از طریق پچ

پیشرفت در این مسائل نیازمند همکاری بین ارباب امور، از جمله صنعت که پلتفرم‌ها و خدماتی را توسعه می‌دهند که حمله‌کنندگان تلاش می‌کنند از آنها بهره‌برند؛ پژوهشگران که نه تنها آسیب‌پذیری‌ها را پیدا می‌کنند، بلکه شناسایی و پشتیبانی از تسکیناتی که می‌تواند مسیرهای کلی حمله را ببندد؛ کاربران که متأسفانه همچنان بار زیادی از امنیت به دوش می‌آورند؛ و دولت‌ها که ساختارهای تحریک‌کننده‌ای ایجاد می‌کنند که رفتار تمامی این اندیشه‌های دیگر را شکل می‌دهند. ما متعهد هستیم که به همراه این ارباب امور پیشرفت را به روی میان اندازیم و ما تعدادی اعلامیه‌های جدید امروز را در این راستا پشتیبانی می‌کنیم:

کمیته سیاست هکینگ:

برای اولین بار، ما دیدیم که قوانین (هر دو تصویب شده و پیشنهادی) وجود دارد که نیازمند افشای آسیب‌پذیری‌ها به دولت‌ها در شرایط خاص هستند. اهمیت دارد که این قوانین را به درستی بفهمیم. به همین دلیل افتخار داریم که بیشترین اعضا از اعضای روابط عمومی خواهیم بود به جلسه کمیته سیاست هکینگ، یک گروه از سازمان‌ها و رهبران هم‌اندیش که در تبلیغات متمرکز به اطمینان حاصل شدن از اینکه سیاست‌ها و ضوابط جدید برای پشتیبانی از بهترین اصول برای مدیریت آسیب‌پذیری و افشای آسیب‌پذیری پشتیبانی می‌شوند و از امنیت کاربران ما تضعیف نمی‌کنند.

صندوق حمایت قانونی از تحقیقات امنیتی:

پژوهشگران امنیتی مستقل تأثیر زیادی بر امنیت دارند، از جمله در گوگل. امروز اعلام می‌کنیم که منابع اولیه را برای ایجاد یک صندوق حمایت قانونی از تحقیقات امنیتی ارائه می‌دهیم. در بسیاری از موارد، افراد به صورت مستقل و با نیت خوب برای پیدا کردن و گزارش آسیب‌پذیری‌ها عمل می‌کنند – به فروشندگان فرصتی می‌دهند تا به آن‌ها پرداخته شود پیش از اینکه حمله‌کنندگان بتوانند از آن‌ها بهره ببرند. متأسفانه، این افراد اغلب در معرض تهدیدات قانونی قرار می‌گیرند که می‌تواند به پس‌زدایی از تحقیقات امنیتی و افشای آسیب‌پذیری‌ها منجر شود، به ویژه برای افراد بدون دسترسی به مشاور حقوقی. صندوق حمایت قانونی از تحقیقات امنیتی به منظور کمک به هزینه نمایندگی حقوقی برای افرادی است که تحقیقات به نفع عمومی در حوزه امنیت سایبری را پیش‌برداری می‌کنند.

شفافیت در بهره برداری:

شفافیت بیشتر در مورد بهره‌برداری کمک می‌کند تا کاربران مراحلی را برای محافظت از خود انجام دهند، درکی از رفتار حمله‌کننده ایجاد کنند و می‌تواند به حفاظت‌های بهتر منجر شود. ما اعتقاد داریم که این شفافیت باید به عنوان یک بخش صریح از سیاست‌های معمول افشای آسیب‌پذیری صنعت به شمار رود. همواره از شفافیت در هنگام بهره‌برداری از محصولاتمان اولویت می‌دهیم، اما از امروز به بعد این را به عنوان بخشی از سیاست‌های ما تمام عده‌ای جلوه داده‌ایم، به اعمال اعلان کردن عمومی متعهد هستیم که ثابت‌ها به دست آمده که آسیب‌پذیری‌های نرم‌افزار ما بهره‌برداری شده‌اند.

مشتاقانه منتظر توسعه این تلاش‌ها برای کاهش ریسک آسیب‌پذیری‌ها هستیم، و همراه با شرکای خود تلاش می‌کنیم تا تغییراتی را ایجاد کنیم و یک اکوسیستم امن‌تر بسازیم.

نظر کارشناس:
با عرض تسلیت به دولت‌ها به جرأت تصمیم به ایجاد ساختارهایی برای پشتیبانی از بهترین عملکردهای مدیریت آسیب‌پذیری و افشای آن‌ها گرفته است که به امنیت کاربران آسیب نمی‌زند. این تلاش‌ها باید به‌طور فزاینده حمایت شوند و به هدف نهایی ایجاد یک محیط امن در اینترنت برسد. ایجاد صندوق حمایت قانونی از تحقیقات امنیتی تهدیدات حقوقی برای افرادی که به دنبال پیدا کردن آسیب‌پذیری‌ها به فروشندگان می‌روند را رفع می‌کند و تحقیقات امنیتی را تشویق می‌کند. از سوی دیگر، شفافیت بیشتر در مورد بهره‌برداری به کاربران کمک می‌کند تا خودشان را محافظت کنند و به درکی عمیق‌تر از رفتار حمله‌کننده دست یابند. این تلاش‌ها می‌تواند بهبودات و تغییرات قابل توجهی در صنعت امنیتی ایجاد کند.

منبع:
این مقاله در اصل در https://blog.google/technology/safety-security/new-initiatives-to-reduce-the-risk-of-vulnerabilities-and-protect-researchers/ منتشر شده است.

شاید این موارد نیز مورد علاقه شما باشد
پلتفرم Google Beam: بهره‌گیری از هوش مصنوعی در ارتباطات ویدیویی سه‌بعدی
تکنولوژی Google DeepMind: تلاش برای ساخت یک هوش مصنوعی جهانی
به روزرسانی‌های Gemini Code Assist از Google I/O 2025
همکاری DeepMind و Primordial Soup با کارگردانی Darren Aronofky در پروژه هوش مصنوعی ساخت فیلم
استفاده از هوش مصنوعی تولیدی در سازمان‌های بهداشتی
تکنولوژی مکالمه‌ای LaMDA: یک نگاه عمیق
گوگل دیپ‌مایند
تحریر خلاقیت‌تان را با مدل‌ها و ابزارهای جدید رسانه‌ای تولیدی بالا ببرید