Popüler video konferans platformu Zoom, yakın zamanda Açık Kaynak Güvenlik Açığı Etki Puanlama Sisteminin lansmanını duyurdu.
Bu sistem, açık kaynaklı yazılımlarda keşfedilen güvenlik açıklarının etkisini değerlendirmek için standartlaştırılmış bir yöntem sağlamak üzere tasarlanmıştır.
Sistemin sürüm 1.0 spesifikasyonu, yazılım geliştiricilerin ve güvenlik araştırmacılarının güvenlik açıklarını daha iyi tespit edip önceliklendirmelerine ve bunları azaltmak için uygun önlemleri almalarına yardımcı olacak şekilde kamuya sunuldu.
Zoom Video Communications, Inc., merkezi San Jose, Kaliforniya’da bulunan bir iletişim teknolojisi şirketidir. Şirket, kullanıcıların telefon görüşmeleri yapmasına, video konferans yapmasına, mesaj göndermesine, sanal etkinliklere ev sahipliği yapmasına ve iletişim merkezlerini işletmesine olanak tanıyan bulut tabanlı, eşler arası bir yazılım platformu sunuyor. Platform, görüntülü telefon ve çevrimiçi sohbet hizmetleri sağlar.
Güvenlik Açığı Etki Puanlama Sistemi (VISS), bağlı altyapı, teknoloji yığını ve müşteri bilgilerinin güvenliği ile ilgili yazılım, donanım ve ürün yazılımı güvenlik açıklarının birincil etkilerini ele almak için özel olarak geliştirilmiştir.
Güvenlik açığı raporlarını değerlendirirken endüstri standardı Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) kullanılır. Bu sistem en kötü senaryoyu dikkate alır ve ağırlıklı olarak saldırganın bakış açısından değerlendirilir.
Bu yaklaşım, bir güvenlik açığının potansiyel etkisinin belirlenmesine yardımcı olur ve azaltma çabalarının önceliklendirilmesine yardımcı olur.
VISS analizindeki her bir güvenlik açığının on üç farklı etki özelliği vardır ve bunların her biri Platform, Altyapı ve Verilere özel etki kategorilerine bölünmüştür. VISS hesaplaması, her değişken için seçilen değerleri kullanarak 0 ile 100 arasında bir puan üretir.
Bir sistemde, ağda, ortamda veya üründe bir güvenlik açığı tespit edildiğinde, bunu sürdürmekten sorumlu kuruluş genellikle güvenlik açığının ciddiyetini değerlendirmek için bir VISS puanı atar. Bu puanlama, şirket içinde veya güvenlik açığını şirket adına değerlendiren hata bulma önceliklendirme ekibi gibi harici bir üçüncü taraf ekip tarafından oluşturulabilir.
VISS aracı, temel güvenlik açığı değerlendirmesinin ötesinde ek analizler gerçekleştirebilir. Bu, CVSS puanı, STRIDE ve/veya DREAD modeli, etkilenen müşteri sayısı, olası mali kayıp veya can veya mala yönelik bir tehdidin varlığı gibi ölçümleri içerebilir.
Bir şirket bu ekstra değişkenlerden herhangi birini hesaba katmak isterse, VISS, VISS hesaplayıcısına metrik alternatifler geliştirme ve ekleme esnekliği sağlar.
Puan, her bir değişkene atanan ağırlığı, bunların birbirleri üzerindeki ilişkisini ve etkisini dikkate alan bir dizi denklem kullanılarak hesaplanır.
VISS hesaplaması, MA, MB ve MC olmak üzere üç ek yerleşik etkileyici değişken içerir. Bu değişkenler, uygulayıcı kuruluşun VISS’in hangi bölümlerinin kendi özel durumlarında az ya da çok önemli olduğuna karar verdiği durumlarda büyüklüğün yeniden belirlenmesine olanak sağlar. Bu değişkenlerin değerleri 0 ile 1 arasında değişmektedir.
Tanımlanmış bir ölçeğe dayalı olarak her puana karşılık gelen niteliksel bir derecelendirme atamak mümkündür.
