Savunma Bakanlığı (DoD) Siber Suç Merkezi (DC3) yakın zamanda siber güvenlik çabalarında önemli bir kilometre taşı olduğunu duyurdu.
Kasım 2016'da Güvenlik Açığı Açıklama Programının (VDP) başlangıcından bu yana 50.000'den fazla güvenlik açığı raporunun işlenmesi.
Federal hükümette öncü bir girişim olan bu program, kitle kaynaklı siber güvenliğin değerini gösteren “Pentagon'u Hackle” hata ödül programının ardından oluşturuldu.
VDP aynı zamanda kamu ve özel sektör arasındaki iş birliğini de teşvik etti; HackerOne, Bugcrowd ve Synack gibi platformlarla yapılan ortaklıklar bunun bir örneğidir.
Bu işbirlikleri 40'tan fazla hata ödül programının yürütülmesini kolaylaştırdı.
Ücretsiz Web Semineri: Güvenlik Açığı ve 0 Günlük Tehditlerin Azaltılması
Güvenlik ekiplerinin 100'lerce güvenlik açığını önceliklendirmesi gerekmediğinden, hiç kimseye yardımcı olmayan Uyarı Yorgunluğu. :
- Günümüzün kırılganlık yorgunluğu sorunu
- CVSS'ye özgü güvenlik açığı ile risk tabanlı güvenlik açığı arasındaki fark
- Güvenlik açıklarının iş etkisine/riskine göre değerlendirilmesi
- Uyarı yorgunluğunu azaltmak ve güvenlik duruşunu önemli ölçüde geliştirmek için otomasyon
Riski doğru bir şekilde ölçmenize yardımcı olan AcuRisQ:
Yerinizi ayırtın
Geleneksel hata ödüllerinin aksine VDP, Savunma Bakanlığı'nın kamuya açık bilgi sistemlerindeki potansiyel güvenlik zayıflıklarının sürekli olarak raporlanmasına olanak tanır.
Bu yaklaşım, Pentagon'un ve ilgili ağlarının siber savunmasının güçlendirilmesinde etkili olmuştur.
VDP'nin başarısı büyük ölçüde dünyanın dört bir yanından etik bilgisayar korsanlarıyla yapılan işbirliğine bağlanıyor.
Bildirilen Güvenlik Açıkları
2022 sonu itibarıyla yaklaşık 4.000 araştırmacıdan 45.000'e yakın rapor alındı.
Bunlardan 25.000'den fazlası dava edilebilir nitelikteydi ve bu da 6.000'den fazla güvenlik açığının başarılı bir şekilde azaltılmasına yol açtı.
2018 yazında raporların takibini ve işlenmesini otomatikleştiren Güvenlik Açığı Raporu Yönetim Ağı'nın kullanıma sunulmasıyla programın verimliliği önemli ölçüde arttı.
Bu sistem genişletmesi, VDP'nin, Müşterek Kuvvet Karargahı Savunma Bakanlığı Bilgi Ağı'nın sahip olduğu ve işlettiği, kamuya açık tüm bilgi teknolojisi varlıkları da dahil olmak üzere, daha geniş bir Savunma Bakanlığı varlıkları yelpazesini kapsamasına olanak tanıdı.
VDP ayrıca, 2022'de 1.019 güvenlik açığı raporunu işleyen DIB-VDP Pilotu aracılığıyla erişimini Savunma Sanayi Üssü'ne (DIB) kadar genişleterek küçük ve orta ölçekli katılımcı şirketlerin belirlenen tehditlerden korunmasına yardımcı oldu.
Bu pilot, katkılarından dolayı DC3'e prestijli Savunma Bakanlığı Bilişim Direktörü Yıllık Ödülü'nü kazandırdı.
Pentagon'un siber güvenliğe yönelik proaktif yaklaşımı yalnızca savunmasını güçlendirmekle kalmadı, aynı zamanda vergi mükelleflerinin parasından da tasarruf etti.
2021 yılında, yüklenici ağlarındaki kusurları bulmayı amaçlayan 12 aylık bir hata ödül programı, 1.000'den fazla güvenlik açığını gidererek tahmini 61 milyon dolar tasarruf sağladı.
DC3 VDP'nin başarısı, küresel etik hacker topluluğuyla güçlü bir ilişkinin faydalarını göstermektedir.
Kitle kaynaklı siber güvenliğin siber savunmaların tutarlı bir şekilde güçlendirilmesine nasıl yol açabileceğini gösteren bu model, diğer hükümet kuruluşlarının da takip edeceği bir model haline geldi.
Siber tehditler gelişmeye devam ederken Savunma Bakanlığı'nın VDP'si, Pentagon'un derinlemesine savunma stratejisinin kritik bir bileşeni olmaya devam ediyor ve ABD'nin savunma bilgi ağlarının güvenliğini ve görev güvencesini sağlıyor.
Kasım 2016'daki başlangıcından bu yana, Pentagon'un Güvenlik Açığı Açıklama Programı (VDP), başarısını ve siber güvenliği güçlendirmede etik hacklemenin değerinin giderek daha fazla kabul edildiğini yansıtan önemli bir evrim ve genişleme geçirdi.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.