Google Cloud avanza significativamente en su compromiso con la transparencia de la seguridad al comprometerse a asignar identificadores de vulnerabilidades y exposiciones comunes (CVE) a las vulnerabilidades críticas encontradas en sus productos en la nube, incluso cuando no se requiere ninguna acción del cliente anunciada que se ampliaría.
Esta medida entra en vigor de inmediato y subraya el compromiso de Google Cloud de fortalecer nuestras prácticas de seguridad y generar confianza dentro de nuestro ecosistema de TI.
Los sistemas CVE se han convertido en un componente fundamental para generar confianza entre tecnologías. Sirve como un mecanismo de seguimiento estandarizado para ayudar a los usuarios de software y servicios a identificar y priorizar vulnerabilidades.
Al emitir CVE para vulnerabilidades críticas en Google Cloud, Google tiene como objetivo brindar a los clientes e investigadores de seguridad una visión integral de los posibles problemas de seguridad.
Para distinguir entre vulnerabilidades que no requieren la acción del cliente, Google Cloud introduce la etiqueta “servicio alojado exclusivamente” en los registros CVE. Esta etiqueta indica que Google ha abordado esta vulnerabilidad internamente y no requiere ningún paso adicional por su parte.
Guía gratuita definitiva de supervisión continua de la seguridad: descárguela aquí (PDF)
Google emitirá CVE para vulnerabilidades en la nube
Phil Venables, CISO de Google Cloud, enfatizó la importancia de este esfuerzo y dijo: “La transparencia y la acción compartida para aprender y mitigar las vulnerabilidades de todo tipo es la clave para contrarrestar a los malos actores. Continuaremos liderando e innovando en toda la comunidad Defender”. .”
Este programa CVE ampliado se alinea con las recomendaciones de la Junta de Revisión de Seguridad Cibernética (CSRB), que enfatizó el papel fundamental de las prácticas de seguridad sólidas en la prevención de errores e infracciones.
Esta medida es particularmente relevante dados incidentes recientes como el ataque Storm-0558, que comprometió cuentas de correo electrónico de varias organizaciones, incluidas agencias gubernamentales.
El compromiso de Google Cloud con la transparencia de las vulnerabilidades se basa en una historia de 20 años de colaboración con investigadores de seguridad externos. La empresa ha sido una autoridad de numeración de CVE desde 2011 y ha emitido más de 8000 CVE en productos empresariales y de consumo. En 2022, Google se convirtió en una de las cuatro raíces de alto nivel de MITRE, fortaleciendo aún más su papel en la comunidad de seguridad.
Esta iniciativa complementa el Programa de recompensas por vulnerabilidades (VRP) existente de Google Cloud, que ofrece recompensas por errores de hasta 100 000 dólares por problemas de seguridad descubiertos en los productos y servicios de Google Cloud.
Si bien VRP se enfoca en fortalecer la postura de seguridad de Google Cloud a través de la colaboración con investigadores externos, el programa CVE ampliado proporcionará un sistema de seguimiento integral para vulnerabilidades conocidas públicamente.
Al estandarizar una cultura de transparencia en torno a las vulnerabilidades de seguridad, Google Cloud está fortaleciendo su compromiso con un modelo de destino compartido y trabajando con los clientes para mejorar continuamente la postura de seguridad en toda la plataforma.
Análisis GRATUITO ILIMITADO de phishing y malware con ANY.RUN: prueba gratuita de 14 días.
