Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) bugün, ABD federal sivil ajansları için yeni bir güvenlik açığı bildirimi politika (VDP) platformu başlattı.
Başlangıçta Haziran ayında ilan edilen Federal Sivil Kurumsal Geniş CrowSourced VDP Platformu, Eylül 2020'de yayınlanan 20-01 olan Bağlama Operasyonel Direktifi (BOG) 20-01'e destek olarak kurulmuştur.
Yeni başlatılan VDP platformu servisi, Federal Sivil Yönetim Şubesi (FCEB) ajanslarının, dünya çapındaki etik hackerların yardımıyla kritik sistemlerde güvenlik boşluklarını tanımlamalarına, izlemeye ve kapatmalarını sağlar.
"Bu Crowdsourcing Platformu aracılığıyla, Federal Sivil Yönetim Şubesi (FCEB) ajansları artık güvenlik araştırma topluluğuyla düzenli bir şekilde koordine edebilecek ve bu raporlar, Eric Goldstein," Bulguların sunulmasını kolaylaştırmak için tek, kullanılabilir bir web sitesinde, " CISA'nın Siber Güvenlik Müdür Yardımcısı.
"Platform, benzersiz yetenekli araştırmacıların, daha önce tanımlanamayan kırılganlıkları anlamaları ve ele almaları için kullanacak olan güvenlik açığı raporları göndermelerine izin vererek, kamu ve özel sektörler arasındaki işbirliğini ve bilgi paylaşımını teşvik ediyor."
CISA'nın VDP platformu, federal ajansların, Acentelik web sitelerinde ve diğer internet bağlantılı varlıklarındaki genel halkın araştırmacılar ve üyeleri tarafından açıklanan güvenlik güvenlik açıklarını alabilecekleri ve triyagerlik yapabileceği merkezi bir portal olarak çalışıyor.
İlk başta, Bugcrowd ve Endyna, ortak FCEB VDP aracılığıyla sunulan güvenlik açığı raporlarını değerlendiren ve kritik sistemlerle ilgili hata raporlarına odaklanmalarına izin verecek şekilde, ortak FCEB Vdp aracılığıyla sunulan güvenlik açığı raporlarını değerlendireceklerdir.
CISA, "Bu yeni platform, ajansların, siber güvenliği duruşlarını geliştirecek olan potansiyel güvenlik açıklarına daha fazla bilgi edinmeye izin verir" dedi.
"Bu yaklaşım ayrıca, ajansların artık, CISA'nın 10 milyon doların üzerinde olduğunu tahmin eden devlet genelinde maliyet tasarrufu sağlayan devlet genelinde maliyet tasarrufu sağlayan, güvenlik açığı raporlamasını ve tanımlanmasının etkilerini sağlamak için ayrı sistemler geliştirmemesi gerekmiyor."
Bu VDP platformunun piyasaya sürülmesi, 2020 Aralık'ta Solarwinds tedarik zinciri saldırısıyla başlayan ABD devlet kurumlarını ve kritik altyapıyı hedefleyen bir ciberattacks barajını takip ediyor.
O zamandan beri, devlet destekli ve finansal olarak motive olmuş hack grupları, yaygın bir Microsoft Exchange hack kampanyasının arkasındaslar ve Colonial Boru Hattı, JBS Gıdaları ve Kaseya müşterilerinin Ransomware saldırılarındaki ağlarına çarptı.
Bu saldırılara cevap olarak, Cumhurbaşkanı Joe Biden, Çarşamba günü, kritik altyapı sahipleri ve operatörleri için temel performans hedeflerini belirleyerek kritik altyapının güvenliğini güçlendirmeye yardımcı olmak için bir Ulusal Güvenlik Memorandumu yayınladı.
Bir gün önce, Cumhurbaşkanı Biden, ciddi güvenlik ihlallerinin başka bir büyük dünya gücüyle "gerçek bir çekim savaşına" yükseltebileceği konusunda da uyardı.
Biden'in açıklamaları Haziran ortalarında yayınlanan bir NATO deyiminden sonra ve "önemli" siberattajların "silahlı saldırılara" etkisini karşılaştırdılar.
Google yeni böcek avcıları güvenlik açığı ödülleri platformunu başlattı
Çin devlet bilgisayar korsanları bir düzine ABD boru hattı operatörünü ihlal etti
CISA, Yeni Ransomware Öz Değerlendirme Güvenlik Denetim Aracı
DOJ: Solarwinds Hackerlar, 27 ABD avukatlarının ofisinden e-postaları ihlal etti
Yeni ABD Güvenlik Memorandumu Bolsters Kritik Altyapı Siber Güvenlik
Kaynak: Bleeping Computer