Dalış Özeti:
- Federal sivil kurumlar, ABD’ye iletilen 7.000’den fazla güvenlik açığını tespit etti 2023’te Güvenlik Açığı Açıklama Politikası PlatformuSiber Güvenlik ve Altyapı Güvenliği Ajansı Pazartesi günü programla ilgili yıllık raporunda şunları söyledi.
- Raporda CISA, federal kurumların geçen yıl 872 güvenlik açığını giderdiğini, bu rakamın 2022’ye göre %78 artış gösterdiğini belirtti. Federal hükümet, geçen yıl VDP Platformuna gönderilen güvenlik açıklarının %15’inin geçerli olduğunu belirledi.
- Program, kritik güvenlik açıklarındaki artışı sürekli olarak ayıklıyor. VDP Platformu, 2022’ye göre %130’luk bir artışla 2023’te 250 kritik güvenlik açığı tespit etti.
Dalış Bilgisi:
VDP Platformu tarafından belirlenen güvenlik açıklarındaki artış kısmen kamu ve özel sektör genelinde artan katılımdan kaynaklanmaktadır.
CISA, federal sivil kurumların araştırmacıların yazılım kusuru tespitlerini sahaya koymasına ve bunları düzeltmesine yardımcı olmak için 2021 yılında federal hükümetin güvenlik açığı yönetimi programını kurdu.
Program, 2023 yılını 51 federal kurum ve 3.246 kamu güvenliği araştırmacısının desteğiyle sona erdirdi; bunların 1.700’den fazlası geçen yıl katıldı.
CISA yıllık raporunda, “VDP Platformuna ek kuruluşlar katılmaya devam ettikçe, tespit edilen ve düzeltilen güvenlik açıklarının sayısı artmaya devam edecek ve bu da daha güvenli bir federal ortama yol açacaktır” dedi.
Katılımcı kurumlar, güvenlik açığı bildirimlerini katılmayan kurumlara göre ortalama iki gün daha hızlı doğruladı. CISA, geçen yıl VDP Platformuna dahil olan kurumların, kritik ve ciddi güvenlik açıklarına yönelik potansiyel iyileştirme maliyetlerinden tahmini ortalama 4,45 milyon dolar tasarruf ettiğini söyledi.
2023’te VDP Platformu aracılığıyla belirlenen ilk beş güvenlik açığı sınıfı şunları içeriyor: siteler arası komut dosyası oluşturma, sunucu tarafı enjeksiyonu, hassas verilerin açığa çıkması, sunucu güvenliğinin yanlış yapılandırılması ve bozuk erişim kontrolü.