CISA'nın Kendi Zaafiyeti, Güvenlik Araştırmacıları İçin Rehber Oldu: Koordineli Güvenlik Açığı İfşası (CVD) Kılavuzu Yayınlandı Siber Güvenlik

CISA'nın Kendi Zaafiyeti, Güvenlik Araştırmacıları İçin Rehber Oldu: Koordineli Güvenlik Açığı İfşası (CVD) Kılavuzu Yayınlandı

CISA ve dört müttefik siber kurum, yazılım satıcılarına yönelik koordineli güvenlik açığı ifşası (CVD) programı kılavuzu yayınladı.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve dört müttefik siber otorite, 9 Nisan Çarşamba günü yazılım satıcılarına yönelik koordineli güvenlik açığı ifşası (CVD) programı oluşturma kılavuzu yayınladı. Kılavuz, satıcıların güvenlik araştırmacılarıyla etkili ve şeffaf bir şekilde işbirliği yapmasını, raporlama süreçlerini kolaylaştırmasını ve araştırmacıları caydırmadan güvenlik açıklarını düzeltmesini hedefliyor.

Kılavuzun yayınlanmasından altı gün önce CISA, bir güvenlik araştırmacısının ciddi bir sorunu defalarca CISA'ya bildirmeye çalıştığını ancak başarısız olduğunu anlatan bir blog yazısı yayınlamıştı. İki belgenin yan yana okunduğunda zamanlamanın kasıtlı olduğu görülüyor. CISA'nın kendi yaşadığı başarısız raporlama deneyimi, kılavuzda yer alan birçok tavsiyenin temelini oluşturuyor.

Kılavuzda, satıcıların web sitelerinde bir güvenlik açığı ifşa politikası yayınlamaları ve raporlamanın herkese açık olduğunu açıkça belirtmeleri öneriliyor. Ayrıca, RFC 9116'da tanımlanan security.txt dosyasının kullanılması, araştırmacıların iletişim bilgilerini aramak zorunda kalmadan bulabilmeleri için tavsiye ediliyor. Satıcıların, araştırmacıların test kapsamını mümkün olduğunca geniş tutmaları ve belirli süreler içinde (ideal olarak 2-3 iş günü) raporlamayı onaylamaları gerektiği vurgulanıyor.

CISA'nın kendi deneyiminden çıkan önemli bir tavsiye ise, güvenlik açığı ifşası ve triyaj sürecini mevcut müşteri destek kanallarından ayırmak. Ajans, mevcut kanalların kullanılmasının raporların gözden kaçmasına, değersizleştirilmesine veya yanlışlıkla ifşa edilmesine yol açabileceğini belirtiyor. CISA, bir güvenlik araştırmacısının kendilerine ulaşmak için dokuz e-posta göndermesine rağmen yanıt alamadığı ve raporunun 'gereksiz yere karmaşık bir yoldan' ulaştığı bir olayı paylaştı.

CISA'nın itiraf ettiği diğer eksiklikler arasında, GitHub veya bulut olay müdahale planının olmaması ve bu nedenle olay sırasında plan yazmak zorunda kalmaları yer alıyor. Ayrıca, anahtar döndürme işleminin sistem karmaşıklığı nedeniyle beklenenden uzun sürdüğü belirtiliyor. Ajans, diğer kuruluşları olgun ve iyi test edilmiş anahtar yönetimi yetenekleri geliştirmeye çağırıyor.

Kılavuzda ayrıca, araştırmacıların iyi niyetli çalışmalarının anti-hacking yasaları kapsamında yetkilendirildiğini garanti eden güvenli liman dili kullanılması, kapsamlı gizlilik anlaşmalarından ve sessiz düzeltmelerden kaçınılması, dahili olarak keşfedilen güvenlik açıklarına da CVE numarası atanması ve Ortak Güvenlik Danışma Çerçevesi'ne (CSAF) dayalı ücretsiz danışmanlıklar yayınlanması öneriliyor. Bu tavsiyeler, ABD federal kurumları için BOD 20-01 ve AB Siber Dayanıklılık Yasası gibi düzenlemelerle de destekleniyor.

Kaynak: helpnetsecurity.com

Paylaş: