Google Cloud, herhangi bir müşteri eylemi gerekmediğinde bile bulut ürünlerinde bulunan kritik güvenlik açıklarına Ortak Güvenlik Açıkları ve Etkilenme (CVE) tanımlayıcıları atamayı taahhüt ederek güvenlik şeffaflığı çabalarında önemli ölçüde genişleme olduğunu duyurdu.
Hemen yürürlüğe girecek olan bu hamle, Google Cloud’un güvenlik uygulamalarını iyileştirme ve BT ekosisteminde güveni artırma konusundaki kararlılığının altını çiziyor.
CVE sistemi, teknoloji ortamında güven inşa etmede çok önemli bir bileşen haline geldi. Yazılım ve hizmet kullanıcılarının güvenlik açıklarını belirlemesine ve önceliklendirmesine yardımcı olan standartlaştırılmış bir izleme mekanizması olarak hizmet eder.
Google, kritik Google Cloud güvenlik açıkları için CVE’ler yayınlayarak müşterilere ve güvenlik araştırmacılarına olası güvenlik sorunlarına ilişkin kapsamlı bir bakış sunmayı amaçlıyor.
Müşteri eylemi gerektirmeyen güvenlik açıklarını ayırt etmek için Google Cloud, CVE kayıtlarına “münhasır olarak barındırılan hizmet” etiketi ekleyecektir. Bu etiket, güvenlik açığının Google tarafından dahili olarak giderildiğini ve müşterilerin herhangi bir ek adım atmasına gerek olmadığını belirtir.
Free Ultimate Continuous Security Monitoring Guide - Download Here (PDF)
Google, Buluttaki Güvenlik Açıklarına Karşı CVE’ler Yayınlayacak
Google Cloud CISO’su Phil Venables, bu girişimin önemini vurgulayarak şunları söyledi: “Tüm güvenlik açığı sınıflarından ders almak ve bunları hafifletmek için şeffaflık ve ortak eylem, kötü aktörlerle mücadelenin hayati bir parçasıdır. Savunmacılar topluluğuna liderlik etmeye ve yenilik yapmaya devam edeceğiz.”
Bu genişletilmiş CVE programı, hataları ve ihlalleri önlemede güçlü güvenlik taahhütlerinin kritik rolünü vurgulayan Siber Güvenlik İnceleme Kurulunun (CSRB) tavsiyeleriyle uyumludur.
Hareket, devlet kurumları da dahil olmak üzere çeşitli kuruluşların e-posta hesaplarının ele geçirilmesine neden olan Storm-0558 saldırısı gibi son olaylar ışığında özellikle önem taşıyor.
Google Cloud’un güvenlik açığı şeffaflığı konusundaki kararlılığı, harici güvenlik araştırmacılarıyla olan 20 yıllık iş birliği geçmişine dayanmaktadır. Şirket, 2011’den beri CVE Numaralandırma Yetkilisidir ve tüketici ve kurumsal ürünleri genelinde 8.000’den fazla CVE yayınlamıştır. Google, 2022’de MITRE’nin dört Üst Düzey Kökünden biri haline geldi ve güvenlik topluluğundaki rolünü daha da güçlendirdi.
Bu girişim, Google Cloud’un ürün ve hizmetlerinde keşfedilen güvenlik sorunları için 100.000 ABD dolarına kadar hata ödülü sunan mevcut Güvenlik Açığı Ödül Programını (VRP) tamamlıyor.
VRP, harici araştırmacılarla işbirliği yaparak Google Cloud’un güvenlik duruşunu güçlendirmeye odaklanırken, genişletilmiş CVE programı, herkesçe bilinen güvenlik açıkları için kapsamlı bir izleme sistemi sağlamayı amaçlıyor.
Google Cloud, güvenlik açıklarına ilişkin şeffaflık kültürünü normalleştirerek, platformundaki güvenlik önlemlerini sürekli olarak iyileştirmek için müşterilerle birlikte çalışarak ortak kader modeline olan bağlılığını güçlendiriyor.
Analyze Unlimited Phishing & Malware with ANY.RUN For Free - 14 Days Free Trial.