Google Cloud, bulut hizmetlerinde bulunan kritik güvenlik açıkları için Ortak Güvenlik Açıkları ve Etkilenmeler (CVE’ler) yayınlamaya başlayacağını belirterek şeffaflık ve güvenlik taahhüdünde önemli bir adım attığını duyurdu.
Google’ın, işletmelerin ve devlet kurumlarının potansiyel güvenlik tehditlerine karşı korunmasına yardımcı olma konusundaki kararlılığının altını çizen bu hamle, doğrudan müşteri işlemi gerekmediğinde bile Google Cloud’un güvenlik uygulamalarının görünürlüğünü ve güvenini artırmayı amaçlıyor.
Bugün yayınlanan bir bildiriyle Google Cloud, anında yama uygulanmasının veya müşteri müdahalesinin gerekli olmadığı durumlarda bile artık Google Cloud hizmetlerindeki kritik güvenlik açıklarına CVE’ler atayacağını doğruladı.
Bu kararın amacı ekosistem genelinde farkındalığı artırmayı ve şeffaflığı teşvik etmektir.
Bu güvenlik açıklarını ayırt etmek ve gereksiz endişelerden kaçınmak için şirket, bu tür CVE’leri müşterilerden herhangi bir işlem yapılmasına gerek olmadığını belirten “münhasır olarak barındırılan hizmet” etiketiyle etiketleyecektir.
“Tüm hassasiyet sınıflarından ders almak ve bunları azaltmak için şeffaflık ve ortak eylem, kötü aktörlerle mücadelenin hayati bir parçasıdır. Google Cloud Bilgi Güvenliği Baş Sorumlusu (CISO) Phil Venables, “Savunucu topluluğu genelinde liderlik etmeye ve yenilik yapmaya devam edeceğiz” dedi.
Free Ultimate Continuous Security Monitoring Guide - Download Here (PDF)
Şeffaflık ve Güvenlik Taahhüdü
Google’ın duyurusu, ihlalleri ve sistem ihlallerini önlemek için güçlü güvenlik uygulamalarının önemini vurgulayan Siber Güvenlik İnceleme Kurulu’nun (CSRB) bulgularıyla uyumludur.
CSRB’nin, devlet kurumları da dahil olmak üzere çeşitli kuruluşların e-posta hesaplarına erişmek için güvenlik açıklarından yararlanan gelişmiş kalıcı tehdit (APT) grubu Storm-0558 hakkındaki son raporu, bulut hizmet sağlayıcıları arasında şeffaflığa ve hesap verebilirliğe olan kritik ihtiyacı ortaya koydu.
Google Cloud’un CVE’leri yayınlama kararı, bu endişeleri gidermek ve güvenlikle ilgili en iyi uygulamaları teşvik etmek için proaktif bir önlem olarak görülüyor.
Google Cloud’un son hamlesi, harici güvenlik araştırmacılarıyla olan 20 yıllık iş birliği geçmişine dayanıyor.
Google, 2011 yılında ilk CVE Numaralandırma Otoritesini (CNA) başlattığından bu yana, tüketici ve kurumsal ürünleri için 8.000’den fazla CVE yayınladı.
CVE sistemini yöneten kuruluş olan MITRE ile ortaklığı, 2022 yılında Google’ın MITRE’nin dört Üst Düzey Kökünden biri haline gelmesiyle genişledi ve güvenlik açığı raporlaması alanındaki liderliğini daha da güçlendirdi.
Bulut Güvenlik Açığı Ödül Programı (VRP) gibi girişimler aracılığıyla Google, mühendisleri ve harici güvenlik araştırmacıları arasında bir işbirliği kültürünü teşvik etti.
Artık Google, buluttaki güvenlik açıklarına yönelik CVE’ler yayınlayarak tüm bulut hizmetleri ekosisteminde güvenlik uygulamalarını geliştirmede öncülük etmeye devam ediyor.
Bugünkü duyuru, Google Cloud’un güvenliği sürekli olarak iyileştirmek için müşterilerle yakın işbirliği içerisinde çalıştığı daha geniş “paylaşılan kader” modelinin bir parçasıdır.
Google Cloud, kritik güvenlik açıklarını CVE’ler aracılığıyla herkese açık olarak takip edilebilir hale getirerek müşterilerini, iş ortaklarını ve güvenlik topluluğunu potansiyel riskleri daha iyi değerlendirip ele alma konusunda desteklemeyi amaçlıyor.
Analyze Unlimited Phishing & Malware with ANY.RUN For Free - 14 Days Free Trial.