SecurityScorecard Skorlama Algoritması 3.0 Sürümü Duyuruldu

SecurityScorecard Nisan 2024’de v3.0 skorlamanın kullanılmaya başlanacağını duyurmuştur. Skorlama Algoritmasının 3.0 sürümü siber güvenlik ihlali olasılığına dayalı bir puanlama ilişkisine sahip güncellenmiş bir metodolojidir.

Firma Eylül 2023’de bu skorlama özelliğini kullanıcılara ön gösterim (preview) olarak kullanıma açmış ve kullanıcıların bu değişiklik öncesi hazırlanmalarına imkan sağlamıştır. Böylelikle Nisan 2024’e kadar olan bu dönemde kullanıcılar mevcut skorlama ve skorlama v3.0 sürümü arasındaki farklılıkları da değerlendirebileceklerdir. 

SecurityScorecard Skorlama Algoritmasındaki Gelişmeler

• SecurityScorecard platformunda kullanılan risk skorlama algoritması 3-4 yılda bir değiştirilmektedir.
• Toplam puan artık doğrudan güvenlik bulgularına göre belirlenecektir. Mevcut durumda 10 adet faktörün ağırlıklı ortalamasıdır.
• Faktörlerin ağırlık değeri kaldırılacaktır. Faktörler 0-100 aralığında puanlara sahip olacaktır.
• Skorlama Algoritmasının 3.0 sürümünde güvenlik bulgularının ağırlık değerleri devam edecektir. Ancak ağırlık değerleri değişmiştir.
• Siber güvenlik ihlali olasılığına dair ilişki değeri A harf notu altındakilerde arttırılmıştır.
• Kullanıcılar v3.0 skorlamasının ön izleme sürümüne Scorecard Issues sayfasındaki seçenek ile erişim sağlayabilirler. Böylelikle mevcut skorlama metodu ve skorlama v3.0 sürümü arasındaki farklılıkları görebileceklerdir.

3.0 Sürümünün Farklılıkları

Yeni puanlama yöntemi birçok önemli değişiklik içermektedir.

• Skorlama v3.0 sürümünde toplam Scorecard skoru, SecurityScorecard tarafından şirketlerin internete açık sistemleri üzerinde tespit edilen güvenlik bulgularını doğrudan yansıtacaktır. Mevcut skorlama ise 10 adet faktör puanının ağırlıklı ortalamasına göre yapılmaktadır.
• Skorlama v3.0 sürümünde faktörlerin artık ağırlık değeri olmayacaktır. Faktörler 0-100 aralığında puanlara sahip olacaktır. Güvenlik bulgularının ise ağırlık değerleri kullanılmaya devam edecektir. Bu durumda skorlamanın daha anlaşılır ve net olması hedeflenmiştir.
• Güvenlik bulgu tipleri mevcut skorlama yöntemi ile karşılaştırıldığında farklı önem derecelerine ve skor etkilerine sahiptir. Örneğin zafiyet içeren bir uygulama sürümünün kullanılması mevcut skorlama yöntemine göre önem derecesi “Bilgi” iken v3.0 sürümünde önem derecesi “Yüksek” olarak belirlenmiştir.
• Skorlama v3.0 sürümünde A harf notunun altındaki puanlar daha yüksek siber güvenlik ihlali olasılığı ilişki değerine sahiptir. Aşağıdaki tabloda paylaşılmıştır.

Not	Mevcut puanlamaya göre ihlal olayı olasılığı	3.0 sürümünde ihlal olayı olasılığı
A	1x	1x
B	2.6x	2.9x
C	4.3x	5.4x
D	6x	9.2x
F	7.7x	13.8x

3.0 Sürümüne Nasıl Hazırlanılabilir?

Skorlama v3.0 sürümüne geçiş yapıldığında Scorecard üzerindeki güvenlik bulguları tespitlerine göre skorlar ciddi oranda değişebilir. Bu nedenle Nisan 2024 öncesi ön izleme özelliği kullanılarak güvenlik bulgularının önceliğine göre değerlendirilmesi önemlidir. Bunun için aşağıdaki adımlar izlenir.

• Scorecard -> Issues -> Scoring 3.0 Preview

• Güvenlik olaylarının önem derecesinin ve puan etkisinin mevcut yöntemde ve 3.0 sürümündeki farkları gözlenir.

SSS (Sıkça Sorulan Sorular)

SecurityScorecard neden skorlama yöntemini değiştirdi?

Öncelikle skorlama metodunun değişmesi siber güvenlik ihlalinin öngörülmesinde önemli bir gelişme sağlamaktadır. Ayrıca yeni skorlama metodu kullanıcılar tarafından daha anlaşılır olmuştur. Siber güvenliğin değişen ve gelişen dinamiğinde güncel durumları yansıtan metotların kullanılması siber güvenlik risklerinin yönetilmesinde çok önemlidir.

Skorlama metodu hangi sıklıkla değişir?

Üç veya dört yılda bir değişmektedir.

Skorlama v3.0 sürümü geçmiş skor verisini nasıl etkileyecektir?

Geçmiş skor sayfasında skorlama v3.0 sürümü geçişi sonrası skorlama v3.0 verilerini içerecektir. Mevcut duruma ait skor verilerini etkilemeyecektir.

Skorlama v3.0 Sürümünde tarama sıklığı nedir?

Mevcut sürüm ile tarama sıklığı aynıdır. Güvenlik bulgusu tipine göre tarama sıklığı değişkenlik göstermektedir. Genellikle haftalık taramalar yapılmaktadır.

Platformda yer alan iki skordan (Mevcut ve v3.0 Sürümü) hangisi dikkate alınmalıdır?

Güvenlik bulgularının giderilmesi her iki metot için de toplam skorun yükselmesini sağlar. Ancak güvenlik bulgularının önem derecesine göre toplam skorlamaya etkisi farklılık gösterir.

Scorecard üzerindeki güvenlik bulgularının çözülmesi her iki skoru da (Mevcut ve v3.0 Sürümü) yükseltecek mi?

Scorecard üzerindeki güvenlik bulguları çözülürse her iki skorun da yükseldiği görülür. Ancak skorların artışı güvenlik bulgularının etkisine göre aynı olmayabilir.

Siz de kurumunuzun ve kurumunuza ürün ve hizmet sağlayan 3.tarafların siber güvenlik risklerini yönetmek istiyorsanız, sunabileceğimiz TRiM hizmetimizle ilgili bilgi almak için formumuzu doldurmanızı rica ederiz.