VISS: güvenlik açığı etki puanlarına devrim gibi yaklaşım

Güvenlik açığı değerlendirmesi ve olaylara müdahale ortamının yeniden şekillendirilmesine yardımcı olmak amacıyla, yenilikçi açık kaynak projemiz olan Güvenlik Açığı Etkisi Puanlama Sisteminin (VISS) genel kullanıma sunulduğunu duyurmaktan mutluluk duyuyoruz. Geçtiğimiz yıl geliştirilen bu proje, güvenlik açığı puanlamasına yönelik çığır açan yaklaşımımız sayesinde daha güvenli bir dijital ortam için güvenlik önlemlerini artırmayı amaçlıyor. VISS, kullanıcı dostu web tabanlı bir kullanıcı arayüzünün yanı sıra, varsayıma dayalı güvenlik etkisi olasılıkları yerine kanıtlanmış gerçek etkiye öncelik veren gelişmiş algoritmalar sunar.

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) gibi geleneksel puanlama sistemleri bir saldırganın bakış açısına ve en kötü durum senaryolarına odaklanırken VISS farklı bir yaklaşıma sahip. Olay müdahale becerilerini geliştiren benzersiz bir değerlendirme sistemi sunarak CVSS'yi tamamlar. VISS, güvenlik açıklarının etkisini saldırıya maruz kalan tarafın bakış açısından objektif olarak ölçerek, değerlendirmelerini varsayıma dayalı tehditler yerine sorumlu şekilde yapılmış istismara dayandırabilir. 

Zoom, Mart 2023'ten bu yana Hata Yakalama Ödül Programı kapsamında verilecek ödülleri değerlendirmek için bu yenilikçi puanlama sistemini kullanıyor. Bu program, güvenlik araştırmacılarına ve ürün kullanıcılarına, yasal misillemeyle karşılaşmadan güvenlik açıklarını ortaya çıkarmak ve Zoom'a bildirmek için güvenli bir alan sunuyor. Genellikle ödül olarak adlandırılan bir komisyonu da kapsayan bu girişim, sunulan raporlarda kayda değer bir dönüşüme neden oldu ve önceki uygulamalara kıyasla önemli bir değişime işaret etti.

Daha yüksek etkili bulgulara ve giderek karmaşık hale gelen çok adımlı istismarlara yönelik bu keskin eğilimin, araştırmacıların potansiyel güvenlik açıklarının nüanslarını ayrıntılı şekilde incelemek için ne kadar çok zaman ayırdıklarını gösterdiğine inanıyoruz.

VISS, değerli olan sınırlı kaynaklarınızı somut etki yaratma olasılığı düşük güvenlik açıklarına odaklamak yerine, ortamınızı proaktif olarak korumanıza ve kuruluşunuzu etkileme olasılığı yüksek güvenlik açıklarına öncelik vermenize yardımcı olabilir. Geçtiğimiz yıl birçok şirket personel sayısını azalttığından bu önceliklendirme, maksimum değer elde etmek üzere zaman ve çalışmaları nereye odaklayacağınızı anlamanıza yardımcı olmak için çok önemlidir.

VISS, güvenlik açıklarını platform, altyapı ve veri grupları kategorilerine ayrılan 13 etki yönüne göre analiz eder. Analiz sonucunda ortaya çıkan 0 ile 100 arasındaki sayısal puan, belirli bir ortamdaki etkinin ciddiyetini gösterir. Telafi Edici Kontroller metriğini kullanan VISS puanları ayarlanabilir ve ortam sahiplerinin güvenilir bir yönetim portalı aracılığıyla puanları kendi risk profillerine ve toleranslarına göre uyarlamaları için esneklik sağlar.

Ayrıntıları incelemek ve Zoom'un VISS hesaplama aracı uygulamasını denemek için VISS spesifikasyonunun tamamına göz atın.

Zoom, 2023 yılında Londra'da düzenlenen HackerOne H1-4420 canlı bilgisayar korsanlığı etkinliğine sponsor oldu. Bu etkinlik sırasında bilgisayar korsanlarının güvenlik açığı raporu gönderimleri hem CVSS hem VISS kullanılarak gelişmiş bir hata değerlendirme sürecinden geçirildi. VISS'in etkinliğini ortaya koyan bu yöntem, kaynak tahsisinin iyileştirilmesini ve Kritik ile Yüksek önem derecesine sahip güvenlik açıklarının ele alınmasına odaklanılmasını sağladı. 

VISS'ye geçtikten sonra güvenlik açığı raporu gönderimleri, Düşük ve Orta önem derecelerinden Yüksek ve Kritik önem derecelerine doğru kaydı. Araştırmacılar, çalışmalarını varsayıma dayalı olmaktan çıkarıp kesin etkiye dönüştürmek için daha fazla zaman ve enerji harcıyor. Mart 2023 ile 1 Aralık 2023 arasındaki dönemde Zoom, Kritik önem dereceli raporlarda %28, Yüksek önem dereceli raporlarda %12'lik artış gözlemledi. Özellikle Mart 2023'te VISS uygulamasından önceki 8 aya kıyasla, orta önem dereceli gönderimlerde %57'lik önemli bir azalma meydana geldi. 

VISS'nin misyonu Zoom'un ötesine geçerek olaylara müdahale edilmesine ve güvenlik ekiplerinin küresel olarak geliştirilmesine yardımcı olmayı amaçlar. Sektöre güvenlik açığı etkisinin kapsamlı ve objektif bir ölçüsünü sunan VISS, herkes için güvenli internet arayışına katkıda bulunur.
Sizi VISS'yi keşfetmeye, gelişimine katkıda bulunmaya ve güvenlik açığı etki puanlamasında devrim yaratma konusunda bize katılmaya davet ediyoruz. Birlikte daha güvenli bir dijital gelecek inşa edelim. https://github.com/zoom/viss adresindeki açık kaynak deposuna göz atın.

Kaynak kodu GPL 3.0 lisansına tabidir.