Zafiyet Açıklama Politikası

Güvenlik, göreceli bir kavramdır; güvenlik asla tam olarak sağlanamaz. Bununla birlikte, günümüzün tehlikeli dünyasında, işletmeler için güvenlik hayati önem taşır. Sistemlerin zafiyetlerini azaltma yönünde adım atmak, güvenliği mümkün olduğunca artırmanın mevcut yollarından biridir. Tüm zafiyetleri keşfetmek ve gidermek mümkün değildir, ancak zafiyetleri keşfetme ve azaltma yönünde daha fazla çaba göstermek, gerekli bir eylem olarak kabul edilir. Ancak mevcut olan farklı güvenlik yöntemleri arasından hangisini seçmeliyiz? Bu yazıda, VDP olarak kısaltılan Zafiyet Açıklama Politikası veya Vulnerability Disclosure Policy adı verilen güvenlik yöntemlerinden birini tanıtmak istiyoruz.

Daha Fazla Göz, Daha Sığ Delikler

Öncelikle, VDP’nin topluluk bilgeliğine dayalı yöntemlerden biri olduğunu söyleyelim. Peki ama neden topluluk bilgeliği? Cevabı Eric Raymond’dan alalım: Linus’un Kanunu’nda diyor ki: “Daha fazla göz odaklandığında, delikler daha sığ görünür…” Bu cümleyi duruma ve bu yazıya uyarlayacak olursak; daha fazla uzman varsa, daha fazla zeka, uzmanlık ve deneyim de vardır. Böyle bir durumda, zafiyetler ve güvenlik açıkları daha hızlı ve daha kolay keşfedilecektir.

VDP Nedir? Esas Mesele Nedir?

Zafiyet Açıklama Politikası’nın (VDP) oluşturulmasının amacı, güvenlik uzmanları ile kurumlar arasında zafiyet raporlarının alınması için bir iletişim platformu ve kanalı sağlamaktır. Kısacası, VDP’nin esas meselesi şudur: Değerli uzman, bir şey gözlemlediyseniz, lütfen bildirin. Başka bir deyişle, VDP’de işletme, bireylerden zafiyet raporları almak için kucak açar ve güvenlik tavsiyeleri için özel bir öneri ve şikayet kutusu hazırlar. Böylece güvenlik uzmanları, beyaz şapkalı hackerlar vb., keşfettikleri zafiyetleri ve güvenlik açıklarını bu platform aracılığıyla işletmeye raporlayabilirler ve hukuki sorunlar gibi suçlama ve itham endişesi olmadan bunu yapabilirler. İşletme de isterse, onlara bir ödül olarak bir miktar para ödeyebilir. Bu şekilde, işletme kendi sistemlerinin birçok sızma yolunu, zafiyet noktalarını ve güvenlik açıklarını öğrenir, onları gidererek kötü niyetli hackerların giriş yolunu kapatabilir ve planlarını bozabilir.

VDP’nin Özellikleri:

VDP’de bir kural var ve o da belirli bir kuralın olmamasıdır:

• VDP’de işletme, avcıya ödül ödeme konusunda bir taahhütte bulunmaz ve avcı, bir zafiyeti keşfettiği için kesin bir ödül beklentisi içinde olamaz. Aslında, bu konuda resmi bir mekanizma VDP seviyelerinde düşünülmemiş ve ödül miktarının hesaplanması için de sabit bir formül yoktur.

• VDP yapısında, hedef kapsamının belirlenmesi veya işletme tarafından kuralların belirlenmesi özel olarak ele alınmamıştır ve bu durumlar VDP gereklilikleri arasında sayılmaz. Uzmanlar herhangi bir kısıtlama olmaksızın işletme sisteminin herhangi bir yerini incelemekte serbesttirler, tabii ki işletme bu konuda kendi önlemlerini düşünüp eklerse başka.

Penetrasyon Testi ve VDP Arasındaki Benzerlikler ve Farklılıklar:

VDP sizin için tanıdık gelmeyebilir, ancak eğer işletmenizin güvenliği konusunda endişeli biriyseniz, kesinlikle “penetrasyon testi” süreciyle tanıdık olmalısınız. Penetrasyon testinde, sınırlı ve belirli bir grup güvenlik uzmanı, işletme sisteminize sızma girişiminde bulunur ve bu yolla sisteminizin güvenliğini değerlendirir, zafiyet noktalarını ve güvenlik açıklarını keşfederler. VDP’de de durum aynıdır ve kişiler sisteminizin güvenlik değerlendirmesini yaparlar, ancak hangi kişiler? VDP ve penetrasyon testi birçok farklılık gösterir, ancak penetrasyon testi ile VDP arasındaki önemli bir fark sürece katılan uzmanlardadır.

VDP’de Kimler Zafiyet Raporu Sunabilir?

Reciprocity web sitesi, güvenlik açıklarını ve zafiyetleri keşfetme sürecinde yer alabilecek ve katkıda bulunabilecek kişileri aşağıdaki üç duruma göre tanımlamıştır:

• Kendi Kendine Açıklama (Self-Disclosure): Organizasyon içindeki geliştiricilerin kendileri zafiyetleri keşfeder ve ifşa eder.

• Üçüncü Taraf Açıklaması (Third-party Disclosure): Organizasyon dışından bir kişi veya grup, zafiyeti keşfeder ve organizasyona rapor eder.

• Tedarikçi Açıklaması (Vendor Disclosure): Diğer kişiler, organizasyonun projesinde kullanılan başka bir şirketin ürünüyle ilgili zafiyetleri keşfederler (örneğin; CRM modülleri). Bu zafiyetler, ilgili şirket tarafından bildirildikten sonra, kullanıcı organizasyon tarafından güvenlik yamalarının güncellenmesi ve yüklenmesi de yapılır.

Kendi İşletmeniz İçin VDP Nasıl Başlatılır?

Bir işletmede zafiyet raporlarını almak için hazırlanan her türlü mekanizma, VDP kavramıyla uyumlu olarak kabul edilebilir. VDP’nin Third-party Disclosure yönü aşağıdaki yöntemlerle uygulanabilir: • İşletme, kendi işletme sistemine security.txt veya robots.txt gibi diğer statik dosyalar oluşturarak, iletişim için gerekli içeriği ilgililere sunabilir. Böylece diğer kişiler, keşfettikleri zafiyet raporlarını işletmeye iletebilirler. • Bazı bug bounty platformları, işletmeler için özel bir VDP programı oluşturmak üzere bir sayfa ayırmışlardır. İşletmeler bu platformlar aracılığıyla kendi VDP sayfalarını oluşturabilirler. (Bu olanak HackerOne ve Bugcrowd platformlarında mevcuttur ancak bu yazının yazıldığı sırada yerel bug bounty platformlarında bu imkan sağlanmamıştır.)

VDP’nin Olumlu ve Olumsuz Özellikleri :

VDP, diğer birçok güvenlik iyileştirme yöntemi gibi hem olumlu hem de olumsuz özelliklere sahiptir. İlerleyen yazılarda bu konu hakkında daha fazla bilgi edineceğiz, daha gelişmiş ve organize bir VDP versiyonu olan bug bounty ile tanışacağız ve bu iki yöntemi karşılaştıracağız.

Son Söz :

Dediğimiz gibi, işletmelerin güvenliğini artırmak için çeşitli yöntemler mevcuttur. Bu yazıda, işletmelerin güvenlik uzmanları ve beyaz şapkalı hackerlardan zafiyet raporlarını açık kollarla karşıladığı Zafiyet Açıklama Politikası veya VDP’yi tanıttık. VDP, güvenlik uzmanları ile işletmeler arasında bir köprü kurma çabasıdır; beyaz şapkalı hackerların, güvenlik uzmanlarının ve diğerlerinin uzmanlık, deneyim ve bilgisinden yararlanarak işletmelerin güvenliğini artırma ve genel olarak daha güvenli bir gelecek yaratma yolunda bir platformdur.