Cybellum, Ürün Güvenliği Platformunun, MITRE Corporation’ın Ortak Zayıflık Sayımı (CWE) Uyumluluk ve Etkililik Programı tarafından resmi olarak “CWE Uyumlu” olarak belirlendiğini duyurdu.
Bu atama, Ürün Güvenliği Baş Sorumlularının (CPSO’lar) ve ekiplerinin, bağlı cihazlarında ortaya çıkan güvenlik açıklarını ve ilgili risk tanımlamalarını küresel olarak güvenilen bir çerçeve içerisinde yönetebildikleri anlamına gelir.
CWE, topluluk tarafından geliştirilen yazılım ve donanım zayıflığı türlerinin listesidir. Ortak bir dil, güvenlik araçları için bir referans noktası ve zayıflık tespiti, hafifletme ve önleme çabaları için bir temel görevi görür.
CWE Uyumlu Ürünler ve Hizmetler dört gereksinimi karşılamalıdır. Birincisi, kullanıcıların CWE tanımlayıcılarını kullanarak güvenlik öğelerini arayabildikleri CWE ile aranabilir olmaları gerektiğidir. Ek olarak, kullanıcılara sunulan güvenlik öğelerinin ilgili CWE tanımlayıcılarını içerdiği veya kullanıcıların bunları almasına izin verdiği CWE çıktısını da sunmaları gerekir.
Uygun CWE tanımlayıcılarına doğru bir şekilde bağlanan güvenlik öğelerinin haritalama doğruluğuna sahip olmalılar ve CWE, CWE uyumluluğu ve yetenekteki CWE ile ilgili işlevselliğin nasıl kullanıldığını açıklayan belgeler bulunmalıdır.
Cybellum CTO’su Michael Engstler şunları söyledi: “CWE Uyumlu olarak resmi olarak tanınmak, Cybellum için yalnızca mükemmelliğe olan bağlılığımızı teyit etmekle kalmayıp aynı zamanda Cybellum’u ürün güvenliği inovasyonunda ön sıralara yerleştiren büyük bir başarıdır.”
Engstler, “Cybellum’un Ürün Güvenliği Platformu, güvenlik ve uyumluluk ekiplerini, geliştiricileri ve yöneticileri, sürekli güvenlik açığı izleme ve sürekli değişen yeni düzenleme ortamına uyum için güvenebilecekleri tek bir güvenlik gerçeği kaynağı etrafında bir araya getiriyor” diye ekledi.
CWE, güvenlik bilincine sahip geliştiricilere, özellikle de güvenlik açısından kritik ürünler için gömülü sistemler geliştirmeye katılanlara rehberlik eden fiili bir referans kaynağı olarak ortaya çıktı. Cybellum’un Ürün Güvenliği Platformu, Java dosyalarındaki ve desteklenen işletim sistemi bileşenlerindeki ve Intel x86/x64, ARM, PowerPC, MIPS ve daha fazlasını içeren desteklenen CPU mimarilerinin herhangi birindeki yürütülebilir dosyalardaki güvenlik açıklarını ortaya çıkarır ve yönetir.
Tehditler UNIX/Linux ELF ve Microsoft Windows PE yürütülebilir dosyalarında da tespit edilebilir. Ayrıca ARM, Renesas RH850/V850, Infineon TriCore ve diğerleri de dahil olmak üzere desteklenen mikro denetleyici mimarilerinden herhangi birinin yürütülebilir dosyalarındaki güvenlik açıklarını ortaya çıkarabilir.
Cybellum Araştırmadan Sorumlu Başkan Yardımcısı Roman Kesler, “Cybellum olarak, güvenlik açıklarının gömülü sistemler, özellikle de kritik sektörleri destekleyenler üzerinde yaratabileceği derin etkiyi anlıyoruz” dedi. “CWE uyumluluğuna ulaşmak yalnızca ürünümüzün sağlamlığının doğrulanması değil, aynı zamanda sektörün en iyi uygulamalarıyla uyumluluğumuzu ve ürün güvenliği uygulayıcılarını sistemlerini potansiyel tehditlere karşı güçlendirmek için ihtiyaç duydukları araçlarla donatma kararlılığımızı da ifade ediyor.”
Mitre CWE, hem kamu hem de özel sektörden güvenlik uzmanları, geliştiriciler, araştırmacılar ve kuruluşlardan oluşan bir topluluk tarafından sürekli olarak güncellenmekte ve bakımı yapılmaktadır. CWE’nin işbirlikçi doğası, ürün güvenliğine ilişkin en son bilgileri yansıtan dinamik ve gelişen bir kaynak olarak kalmasını sağlar.
Cybellum, Mitre CWE programına güvenen şirketleri aşağıdaki yollarla destekler:
- Varlık yönetimi ve yazılım güvencesinden olaylara müdahale ve siber uyumluluğa kadar çok ekipli işbirliğine dayalı ürün güvenliğine odaklanma
- SBOM’lardan CWE’ye ve diğer güvenlik açığı veritabanlarına kadar birçok kaynaktan gelen verilere dayalı olarak ürün varlıklarını toplamak ve yönetmek
- Güvenlik açıklarını otomatik olarak önceliklendirmek için MITRE veritabanını Cybellum’un VM CoPilot’uyla senkronize ederek güvenlik açığı önceliklendirmesi için gereken zamandan ve kaynaklardan tasarruf sağlar
- Gereksinim doğrulamayı otomatikleştiren ve ekiplerin 50’den fazla siber güvenlik düzenlemesi için rapor oluşturmasına olanak tanıyan, düzenlemelere ve kendi politikalarınıza uyumu hızlandıran özelleştirilebilir bir Politika Motoru sağlama
- Piyasaya sürülme sonrası olayların hızlı bir şekilde iyileştirilmesi için istihbarat izleme, otomatik uygunluk değerlendirmeleri ve etki odaklı soruşturma iş akışlarının iyileştirilmesi