ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kuruluşların güvenlik açığı giderme çabalarını daha iyi önceliklendirmesine yardımcı olmak için Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) kayıtlarını ek meta verilerle zenginleştirmeyi amaçlayan “Vulnrichment” adlı yeni bir girişimi duyurdu.
Halka açık bir GitHub deposunda barındırılan Vulnrichment projesi, aşağıdakiler de dahil olmak üzere CVE kayıtlarına önemli veri noktaları eklemeye odaklanacak:
- Ortak Platform Numaralandırması (CPE) tanımlayıcıları
- Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) puanları
- Ortak Zayıflık Sayımı (CWE) tanımlayıcıları
- Kullanım durumu (örn. kavram kanıtı, aktif kullanım)
CISA, güvenlik açıklarını istismar durumu, teknik etki ve otomatik istismar potansiyeli gibi faktörlere göre değerlendirmek ve sınıflandırmak için Paydaşlara Özel Güvenlik Açığı Kategorizasyonu (SSVC) karar ağacı modelinden yararlanıyor.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
Daha sonra yüksek öncelikli güvenlik açıkları, CISA’nın ek CPE, CVSS ve CWE meta verilerini güvenle ileri sürüp sürdüremeyeceğinin belirlenmesi için daha ileri analizlere tabi tutulacaktır.
Daha da önemlisi, CISA, CVE Numaralandırma Yetkilileri (CNA’lar) tarafından sunulan orijinal CVE verilerinin hiçbirinin üzerine yazılmayacaktır.
Zenginleştirilmiş veriler, standart CVE JSON formatı kullanılarak ek olarak sağlanacak ve güvenlik açığı yönetimi sistemleri tarafından kolayca kullanılmasına olanak sağlanacak.
VulnCheck’te güvenlik araştırmacısı olan Patrick Garrity, “CISA’nın, NIST NVD’nin ele almayı ihmal ettiği CVE zenginleştirme açığını doldurmak için adım attığını görmek harika” dedi. “NVD’nin geride bırakmaya devam ettiği boşluğu doldurmak için CVE.org CNA’ları, yazılım tedarikçileri, devlet kurumları ve özel sektör arasında ortak bir çaba sarf edilmesi gerekecek.”
Aquia’nın kurucusu ve eski CISA üyesi Chris Hughes, Vulnrichment programını “CISA’nın toplulukla paylaşabileceği mükemmel bir kaynak” olarak övdü ve CISA’nın halihazırda 1.000’den fazla CVE kaydını önceliklendirmeye yardımcı olacak ek bağlamla zenginleştirdiğini belirtti.
CISA, Vulnrichment projesinin siber güvenlik topluluğundan gelen geri bildirimlere dayanarak hızla gelişeceğini söylüyor. Yakın gelecekte kurum, önceliklendirme metodolojisine daha fazla şeffaflık sağlamak için SSVC karar noktalarını zenginleştirilmiş CVE verileriyle birlikte paylaşmaya başlamayı planlıyor.
Vulnrichment çabası, CISA’nın bulut bilişim ortamlarını daha iyi desteklemek için Ulusal Siber Güvenlik Koruma Sistemi (NCPS) gibi siber güvenlik programlarını modernleştirmeye yönelik daha geniş çabasıyla uyumlu. Buna, güvenlik telemetri verilerinin doğrudan kurumların bulut hizmet sağlayıcılarından alınması da dahildir.
RiskHorizon.ai CEO’su Immanuel Chavoya, “CISA’nın ‘Hassasiyet’ girişimi doğru yönde atılmış çok önemli bir adımdır” dedi. “Ancak gerçek dayanıklılık, sömürü gerçekleşmeden önce tüm CVE’lerin önleyici zenginleştirilmesinde yatmaktadır. CVE’lerin çoğalması için sömürü göstergelerinin beklenmesi hâlâ aşağı yönde gecikmelere neden oluyor.”
Siber güvenlik topluluğunun, GitHub sorunları ve çekme istekleri aracılığıyla Vulnrichment projesi hakkında geri bildirim sağlaması teşvik ediliyor. CISA ile doğrudan şu adresten iletişime geçebilirsiniz: [email protected].
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide