Google Cloud strebt mit der CVE-Ankündigung den Weg zu völliger Sicherheitstransparenz an
Das Common Vulnerabilities and Exposure-System gehört zu den Dingen, von denen viele behaupten, sie wüssten nichts darüber und seien gleichzeitig seltsam vertraut. Das liegt daran, dass es sich um das CVE-Bit am Anfang jeder Auflistung von Sicherheitslücken handelt. Es ist langweilig, aber wichtig, da es einen Kontext zur Schwere einer Sicherheitslücke liefert und so bei der Priorisierung von Patches helfen kann. Microsoft war Ausstellen von CVEs für kritische Schwachstellen in Cloud-Dienstenunabhängig davon, ob Benutzer sie patchen müssen oder nicht, seit Juni 2024. Jetzt ist Google der Partei für kritische Schwachstellen „Lasst uns die Cloud weniger wolkig machen“ beigetreten. Folgendes müssen Sie wissen:
Google erweitert sein Sicherheitsprogramm für häufige Sicherheitslücken und Gefährdungen für die Cloud
Sri Tulasiram, Leiter der Sicherheitsreaktion bei Google Cloud, hat erkannt, dass es ein entscheidender Faktor ist, sich über die neuesten Sicherheitslücken auf dem Laufenden zu halten, um Nutzern, ob Verbraucher, Unternehmen oder Anbieter, dabei zu helfen, sicher zu bleiben große Erweiterung seines CVE-Programms.
„Wir haben gesehen, dass sich das Common Vulnerabilities and Exposure-System zu einem wesentlichen Bestandteil des Vertrauensaufbaus im gesamten IT-Ökosystem entwickelt hat“, sagte Tulasiram und fügte hinzu: „CVEs können Benutzern von Software und Diensten dabei helfen, Schwachstellen zu identifizieren, die Maßnahmen erfordern, und sie sind zu einem globalen System geworden.“ , standardisierter Tracking-Mechanismus, der wichtige Informationen zur Identifizierung und Priorisierung jeder Schwachstelle enthält.“ Daher finden Sie es vielleicht seltsam, dass Google Cloud damit beginnt, CVEs für kritische Google Cloud-Schwachstellen herauszugeben, für die kein Patching oder überhaupt eine Benutzeraktion erforderlich ist.
Was ist also der Grund für den Schritt? Die neuen CVEs, die kein Eingreifen des Kunden erfordern, werden über eine zusätzliche Kennzeichnung mit dem Tag „exklusiv gehosteter Dienst“ verfügen, was nach Ansicht einiger nur noch mehr Verwirrung in einem ohnehin schon etwas verwirrenden Bereich der Sicherheit stiftet. Es überrascht nicht, dass Phil Venables, Chief Information Security Officer von Google Cloud, dies nicht so sieht. „Transparenz und gemeinsames Handeln, um aus ganzen Klassen von Schwachstellen zu lernen und diese zu mildern, sind ein wesentlicher Bestandteil der Bekämpfung böswilliger Akteure“, sagte Venables. „Wir werden weiterhin in der gesamten Gemeinschaft der Verteidiger führend sein und Innovationen vorantreiben.“
Der Weg zu einer Kultur der Sicherheitstransparenz für Google Cloud-Benutzer
Das berichtete das Cyber Safety Review Board Ein Mangel an starkem Engagement für die Sicherheit führt zu vermeidbaren Fehlern und schwerwiegenden Verstößenwas allen ein Anliegen sein sollte. Google vertritt den Standpunkt, dass es durch die Zusammenarbeit mit der Branche im Rahmen von Programmen wie dem eigenen Cloud Vulnerability Reward Program für Bug-Bounty-Jäger und der nun weiteren Verbesserung der Sichtbarkeit von Schwachstellen mit CVEs die besten Sicherheitspraktiken in großem Maßstab vorantreiben kann. „CVEs werden öffentlich bekannt gegeben und können von jedem verwendet werden, um Schwachstellen zu verfolgen und zu identifizieren“, sagte Tulasiram, „was unseren Kunden geholfen hat, ihre Sicherheitslage besser zu verstehen.“
Alles, was dazu beiträgt, das Vertrauen seiner Kunden in Google Cloud aufzubauen, sollte als eine gute Sache angesehen werden. Diese jüngste Ankündigung ist nur ein weiterer Schritt in Richtung einer Kultur der Transparenz in Bezug auf Sicherheitslücken, die als neue Norm angesehen werden sollte.
