Güvenlik açıkları giderilmeli, özellikle ciddi güvenlik açıkları hızla giderilmelidir. Söylemeye gerek yok ama hangi boşluklara özellikle acilen bakmanız gerektiğini nasıl bileceksiniz? CVE numaraları buna uygun değil; yalnızca boşlukları açıkça belirlemeye yararlar. Ancak bu rakamlar etrafında çok sayıda değerlendirme sistemi, ek ölçüm ve karar ağaçları ortaya çıktı ve bu da uzmanların bile düzenli olarak düşünmesine neden oluyor. 60. bölümde podcast, çeşitli ortak güvenlik ölçümlerini kapsayan bir bölümün tamamını harcıyor.
Reklamdan sonra devamını okuyun
Yakın geçmişten gelen oldukça kritik bir güvenlik açığı ortak bir konu olarak hizmet ediyor: CVE-2026-41940. Bu örneği (ve diğer birkaç anekdotu) kullanarak, sunucular, Ortak Güvenlik Açığı Puanlama Sistemi CVSS'den başlayarak çeşitli derecelendirme sistemleri üzerinde çalışıyorlar: Christopher, 3.1 ve 4.0 sürümlerindeki bu puanların neyi yansıttığını ve neyi yansıtmadığını açıklıyor. En azından CVSS'den alınan temel puan, herhangi bir koruyucu önlemin olmadığı bir sistemdeki güvenlik açığının teorik tehlikesini açıklıyor. Bunun genellikle belirli bir ortamdaki ve belirli bir zamandaki gerçek riskle pek ilgisi yoktur.
Bu nedenle, CVSS'nin isteğe bağlı uzantıları bu tür değişken faktörleri yakalamaya çalışır. Podcast'te de tartışılan Paydaşlara Özel Güvenlik Açığı Kategorizasyonu (SSVC) ve EPSS, Exploit Tahmin Puanlama Sistemi daha da ileri gidiyor. İkincisinin amacı, bir güvenlik açığının gerçekten istismar edilme olasılığını hesaplamaktır. Ortak Zayıflık Sayımı (CWE) ve Ortak Platform Sayımı (CPE) da sorunları dahil olmak üzere tartışılmaktadır.
Temel olarak ana bilgisayarlar, güvenlik açıklarına tartışmasız önem düzeyleri atamanın neden genellikle zor veya imkansız olduğunu açıklıyor. CVSS 3.1'deki meşhur “Kapsam” parametresi örneğini kullanan Sylvester, değerlendirmenin bazen yazı tura atmaya dönüştüğünü gösteriyor. Sonuçta tüm bu anahtar rakamların ne işe yaradığı ve daha fazla parametreden daha fazla anahtar rakam hesaplamanın hata olup olmadığı sorusu ortaya çıkıyor. Ev sahipleri, puanların önceliklendirmeye yardımcı olabileceği konusunda hemfikir, ancak ölçütlerin hiçbiri, bir boşluğun kendi organizasyonlarını etkileyip etkilemediği veya ne kadar ciddi şekilde etkileyeceği sorusuna cevap vermiyor.
“Password – Haberler Security Podcast”in yeni bölümü Çarşamba gününden bu yana alışılagelmiş podcast platformlarında yayında.
Reklamdan sonra devamını okuyun
(syt)

Bir yanıt yazın