Yazılım açıkları, savaş bölgesindeki kara mayınlarına çok benzer: Göz önünde gizlenirler, görünüşte her yerdedirler ve hiç beklemediğiniz anda patlamaya hazırdırlar.
Bununla birlikte, bir yönetmeliğin tekdüze yıkıcı gücünün aksine, tüm güvenlik açıkları eşit değildir. Yazılım güvenlik açığı ciddiyet spektrumu, zararsız yanlış yapılandırmalardan, tetiklendiği takdirde vahim veri ihlallerine yol açabilecek ve tüm sistemlerin bütünlüğünü tehlikeye atabilecek yıkıcı sıfır gün istismarlarına kadar uzanır.
Bir güvenlik yazılımı satıcısı olarak Descope, ürünlerimizde güvenlik açıkları tespit edildiğinde bizi bilgilendirmek için iş ortaklarına, kullanıcılara ve yazılım güvenliği topluluğunun diğer üyelerine güvenmektedir. Ayrıca zaman zaman diğer ürünlerdeki güvenlik açıklarını da ortaya çıkarıyoruz. Yakın zamanda, Microsoft Active Directory uygulamalarını etkileyen ve kimlik doğrulama akışlarında “Microsoft ile Oturum Aç” seçeneğini kullanan tüm uygulamaları etkileme potansiyeline sahip ciddi bir yanlış yapılandırmayı keşfettik ve açıkladık.
Sorumlu Açıklama Neden Kritiktir?
Güvenlik açıklarını bildiren kullanıcıların bize duyduğu güveni deneyimledikten sonra, sorumlu bir açıklama programı tanımlamanın ve bu programa uymanın önemini takdir ediyoruz. Sorumlu açıklama, risk altındaki kullanıcıları korumaya yönelik acil ihtiyaç ile tüm topluluk için daha geniş güvenlik sonuçları arasında hassas bir denge kurmalıdır.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 2022’de 26.448 doğrulanmış güvenlik açığının rekor düzeyde olduğunu bildirdi; “kritik” güvenlik açıklarının sayısı bir önceki yıla göre %59 arttı. Ancak bu, özellikle son birkaç yılda daha fazla yazılım satıcısının hata ödül programlarını geliştirmesiyle birlikte satıcılara gönderilen raporların yalnızca küçük bir kısmını temsil ediyor.
Yazılım satıcıları üçüncü taraflardan güvenlik açıkları talep etmeye her zaman sıcak bakmıyor. 2015 yılında Oracle’ın CSO’su, müşterilere tersine mühendisliği bırakmaları ve yazılımındaki kusurları duyurmaları için yalvaran 3.000 kelimelik açık bir mektup kaleme aldı. Bazı uç durumlarda, güvenlik açıklarını bildiren kişiler cezai kovuşturmayla bile tehdit edildi.
Yazılım satıcıları kitle kaynaklı penetrasyon testinin değerini takdir etmeye başladı. Birçoğu, güvenlik açıklarını bulma ve bildirme konusunda kullanıcıları ve tehdit araştırmacılarını ödüllendirmek için teşvikler oluşturdu. Bununla birlikte, bu hata tespit programlarının yaygınlığı artsa da, süreci kolaylaştırılmış, şeffaf ve tüm taraflar için faydalı hale getirmeye yönelik zorluklar devam etmektedir. Çok sayıda güvenlik açığı raporu aynı zamanda bu güvenlik açıklarını yönetmek, ele almak ve düzeltmek için yapılandırılmış ve sorumlu bir yaklaşıma duyulan ihtiyacı da vurgulamaktadır.
Güvenlik açığı raporlamanın temel amacı, yazılımı son kullanıcılar için mümkün olduğunca güvenli hale getirmektir. Reaktif bir duruştan proaktif bir duruşa geçiş, raporlama için açık kanallardan daha fazlasını gerektirir. Hem muhabirler hem de satıcılar için yönergeler belirleyen kapsamlı bir çerçevenin geliştirilmesini gerektirir.
Sorumlu Siber Güvenlik Açıklamasının 4 Temel İlkesi
Sorumlu bir açıklama programı hazırlamak, yazılım topluluğundaki her bileşenin çıkarınadır. Etkili bir sorumlu bilgilendirme programı oluşturmanın temel dayanakları olarak aşağıdaki dört prensibi göz önünde bulundurun.
1. Açık ve Şeffaf Olun
Açık ve şeffaf bir iletişim süreci, açıklama sürecinin temel unsurlarını özetlemeli, belirlenen temas noktalarını belirlemeli ve yanıt için beklenen zaman çizelgelerini belirlemelidir. Yazılım satıcısına sorunu düzeltmesi için yeterli süre tanınması ile derhal açıklama yapılmasının aciliyetinin dengelenmesi bu sürecin çok önemli bir yönüdür.
Genel olarak endüstri standardı, yazılım satıcısına güvenlik açığını gidermesi için 30 gün vermektir; ancak bu zaman çizelgesi, güvenlik açığının boyutuna ve ciddiyetine bağlı olarak değişiklik gösterebilir. Bir ödül programı sunan kuruluşlar için, raporların nasıl ve ne zaman telafi edileceğinin ve ödül almaya uygun güvenlik açıklarının türlerinin açıklanması da dahil olmak üzere programın işleyişi hakkında şeffaflığın sağlanması önemlidir.
2. Korkuyu Değil Güveni Geliştirin
Güvenlik açıklarını tespit eden araştırmacılar ve etik bilgisayar korsanları ile tutarlı ve açık iletişim, ortak sorumluluk, açık konuşma ve karşılıklı güven ortamının geliştirilmesi açısından hayati öneme sahiptir. Katkıda bulunanlara, bir güvenlik açığını bildirmeleri nedeniyle yasal sonuçlarla karşılaşmayacaklarına dair güvence vermek çok önemlidir.
Günümüzün birbirine bağlı yazılım ortamında, kötü yönetilen bir güvenlik açığı açıklama programı, tüm yazılım ekosistemini olumsuz yönde etkileyebilir. Bu nedenle, özellikle benzer bir güvenlik açığından etkilenebilecek diğer taraflar (rakipler dahil) hakkındaki bilgilerin açıklanması söz konusu olduğunda, takdir yetkisini kullanmak önemlidir. Bu yalnızca profesyonel saygı ve adaleti göstermekle kalmaz, aynı zamanda sektör genelinde güvenliğin sürdürülmesi için hayati önem taşıyan işbirlikçi ahlakı da güçlendirir.
3. Kapsamlı Bir Triyaj Süreci Oluşturun
İyi belgelenmiş bir önceliklendirme çerçevesine yatırım yapmak, her olgun güvenlik açığı yönetimi programının temel taşıdır. Güvenlik ekiplerine, güvenlik açıklarının potansiyel etkilerine ve istismar edilme olasılıklarına göre önceliklendirilmesine yönelik bir yapı sağlar.
Güçlü bir önceliklendirme süreci, önceliklendirmenin ötesinde, düzeltmeleri uygulayan yazılım geliştiricilerinden herhangi bir potansiyel risk hakkında uygun şekilde bilgilendirilmesi gereken kullanıcılara kadar çeşitli paydaşlarla sorumlu iletişimi ve karar almayı da kolaylaştırır. Triyaj süreci, sıkı düzenlemelere tabi olan ve belirli türdeki güvenlik açıklarının belirli bir zaman dilimi içinde rapor edilmesini ve ele alınmasını gerektiren, yoğun şekilde denetlenen endüstrilerde kritik öneme sahiptir.
4. Süreklilik Çok Önemlidir
Günümüzün tehdit ortamı son derece dinamiktir ve güvenlik açıklarının zamanında belirlenmesi, raporlanması ve yamalanması için sürekli ve uyarlanabilir bir süreç gerektirir. Aynı şekilde, mevcut tehdit ortamı bağlamında etkinliğini ve uygunluğunu sağlamak için açıklama programınızı düzenli olarak gözden geçirmek ve güncellemek de önemlidir. Bu, prosedürlerinizin, araçlarınızın ve stratejilerinizin yalnızca mevcut güvenlik açıklarını ele almakla kalmayıp aynı zamanda gelecekteki güvenlik açıklarına da hazırlıklı olması gerektiği anlamına gelir.
Sürekli iyileştirme kültürü, çeşitli paydaşlardan alınan geri bildirimleri ve geçmiş deneyimlerden öğrenilen dersleri içermelidir. Açıklama programınızı geliştirmek için gelişen tehdit ortamından elde edilen içgörülerden yararlanın.
Bütün, Toplamdan Daha Büyüktür
Sorumlu açıklama, siber güvenlikte araştırmacıların, satıcıların ve kullanıcıların işbirliğinden elde edilen kolektif gücün, herhangi bir bileşenin yeteneklerini aştığını vurgular. Nasıl ki bütün çoğu zaman parçaların toplamından daha büyükse, siber güvenlik de yalnızca tek bir kuruluşun veya bireyin meselesi değildir; güvenli bir dijital dünya arayışımızda ortak bir görevdir.