Το Σαββατοκύριακο, οι εμπειρογνώμονες ασφαλείας άρχισαν να πανικοβληθούν. Η Mitra ανακοίνωσε ότι η αμερικανική κυβέρνηση δεν συνέχισε τη χρηματοδότηση της βάσης δεδομένων της γενικής ευπάθειας και των επιρροών (CVE).
Ο αντιπρόεδρος της Mitra Yosri Barsum προειδοποίησε ότι η κρατική υποστήριξη της σύμβασης που επιτρέπει στον Miter να “αναπτύσσει, διαχειρίζεται και εκσυγχρονίζει την CVE” στις 16 Απριλίου.
Επίσης: Πλοήγηση για την Cyberosis με AI: 4 Συμβουλές ασφαλείας για επιχειρήσεις για επιχειρήσεις
Όλη η ασφάλεια του υπολογιστή εξαρτάται από το CVE, το οποίο είναι ένα πρότυπο για την παρακολούθηση του τι είναι (και όχι) σημαντική τρύπα ασφαλείας. Ευτυχώς, δεν υπήρχε χρόνος στο ρολόι, ο Miter, ένας μη κερδοσκοπικός οργανισμός που παρακολουθεί τη βάση δεδομένων CVE, ανακοίνωσε ότι θα λάβει χρηματοδότηση για άλλους 11 μήνες.
Το πρόγραμμα CVE, το οποίο έχει καταγραφεί πάνω από 274.000 δημοσίως αποκαλύπτουν ελλείψεις ασφαλείας από τη στιγμή που δημιουργήθηκε το 1999, για αναλυμένες κυβερνήσεις, ιδιωτική βιομηχανία και κοινότητα ανοιχτού κώδικα κάθε – Για να παρακολουθήσετε και να συντονίσετε τις απαντήσεις στα ανοίγματα του λογισμικού. Για παράδειγμα, η Microsoft, με την έμπλαστρο την Τρίτη, και οι προγραμματιστές του Linux Nucleus χρησιμοποιούν CVES για την παρακολούθηση προβλημάτων ασφάλειας.
Ο καθένας βασίζεται στην CVE, διότι, αν και μακριά από το ιδανικό, είναι ένα παγκοσμίως συμφωνημένο πρότυπο για την παρακολούθηση των προβλημάτων ασφαλείας. Όπως εξήγησε ο Jen Isterley, πρώην διευθυντής του Υπηρεσία Ασφάλειας Κυβερνοχώρου και Υποδομής (CISA):
Σκεφτείτε το σύστημα CVE ως το γεγονός ότι το Dewey είναι ένα δεκαδικό σύστημα για την ασφάλεια στον κυβερνοχώρο. Αυτός είναι ένας παγκόσμιος κατάλογος που βοηθά όλους – ομάδες ασφαλείας, προμηθευτές λογισμικού, ερευνητές, κυβερνήσεις – οργανώνουν και μιλούν για ευπάθεια χρησιμοποιώντας το ίδιο σύστημα αναφοράς. Χωρίς αυτό:
- Ο καθένας χρησιμοποιεί έναν άλλο κατάλογο ή καθόλου.
- Κανείς δεν ξέρει αν μιλάνε για το ίδιο πρόβλημα.
- Οι υπερασπιστές ξοδεύουν πολύτιμο χρόνο, ανακαλύπτοντας τι συνέβη.
- Και, το χειρότερο από όλα, οι ηθοποιοί απειλών χρησιμοποιούν μια σύγχυση.
Επιπλέον, όπως μου είπε ο Ariadn Konille, συν -ιδρυτής και ένας εξαιρετικός μηχανικός στην τεχνολογική ασφάλεια της Edera Edera. “Η βάση δεδομένων CVE είναι ζωτικής σημασίας για τη διεθνή ασφάλεια.
Εξετάζοντας το μέλλον, η Conille συνέχισε, “οι βάσεις δεδομένων ευπάθειας πρέπει να καλύπτουν τα σχετικά δεδομένα για αναφορές στην ίδια ευπάθεια σε εξωτερικές βάσεις δεδομένων και δεν εξαρτώνται από τα αναγνωριστικά CVE.
Ωστόσο, μέχρι να συμβεί αυτό, η CVE θα παραμείνει κρίσιμη για όλη την τεχνολογική ασφάλεια.
Επίσης: το καλύτερο δωρεάν VPN 2025: Εμπειρογνώμονα δοκιμασμένος
Πώς έφτασε η CWE κοντά στην απενεργοποίηση; Μιλάμε για ομοσπονδιακές συμβάσεις και για την τρέχουσα σύγχυση σχετικά με τα οικονομικά της αμερικανικής κυβέρνησης. Ο Miter έχει ελέγξει το πρόγραμμα CVE για 25 χρόνια υπό τη χορηγία του Υπουργείου Εσωτερικής Ασφάλειας των ΗΠΑ (DHS) και της CISA. Ο Miter λειτουργεί ως συντάκτης της CVE και το κύριο σώμα αρίθμησης CVE (CNA), παρατηρώντας το σκοπό των μοναδικών αναγνωριστικών CVE, οι οποίοι χρησιμεύουν ως παγκόσμιο πρότυπο αναφοράς για τις ευπάθειες.
Η Miter ελέγχει επίσης τα κατάλληλα προγράμματα όπως η γενική μεταφορά της αδυναμίας (CWE), η οποία ταξινομεί τα μειονεκτήματα του λογισμικού και του υλικού.
Δεν γνωρίζουμε γιατί η σύμβαση δεν επεκτάθηκε στην τελευταία δυνατή στιγμή. Ωστόσο, γνωρίζουμε ότι – σύμφωνα με τους υπαλλήλους της Doge – CISA δόθηκαν μέχρι τη Δευτέρα τα μεσάνυχτα για να επιλέξουν μεταξύ της παραμονής στην εργασία ή της παραίτησης. Εκείνοι που έμειναν θα αντιμετωπίσουν τη δυνατότητα απόλυσης, καθώς ο οργανισμός αντιμετωπίζει μείωση του ενός τρίτου της εργασίας του.
Αργά την Τρίτη, 15 Απριλίου, η CISA ολοκλήρωσε την προαιρετική περίοδο της σύμβασης για να βεβαιωθεί ότι η CVE δεν θα είναι σε κρίσιμες υπηρεσίες. Αυτή η επιλογή διαρκεί μόνο 11 μήνες και στη συνέχεια θα πρέπει να ενημερωθεί – ή θα επιστρέψουμε στο ίδιο σκάφος.
Επίσης: Προειδοποίηση των Windows: Μην διαγράψετε αυτόν τον παράξενο φάκελο “inetPub”. Ήταν ήδη; Εδώ είναι η διόρθωσή σας
Παρόλο που ο άμεσος κίνδυνος παραβίασης εμποδίστηκε, το επεισόδιο υπογράμμισε μακροχρόνια ανησυχία για τη σταθερότητα και την ουδετερότητα του προγράμματος CVE, το οποίο βασίζεται στον κόσμο, αλλά ταυτόχρονα εξαρτάται από τη χρηματοδότηση της αμερικανικής κυβέρνησης. Δεν είναι επίσης η πρώτη φορά που η έλλειψη χρημάτων απειλεί την CVE. Το περασμένο καλοκαίρι, ανεπαρκής ποσότητα κεφαλαίων δεν επέτρεψε σε κανέναν να διαχειριστεί την αιώνια πλημμύρα των νέων CVES
Τα μέλη των διευθυντών της CVE ξεκίνησαν το Ίδρυμα, τον Οργανισμό Ιδρύματος Μη Καρδιάς CVE για τη διατήρηση της μελλοντικής σταθερότητας και της ανεξαρτησίας του προγράμματος. Ο Kent Landfield, ένας από τους ιδρυτές της CVE και υπάλληλος του Ιδρύματος CVE, σημείωσε ότι “η CVE, όπως ο ακρογωνιαίος λίθος του παγκόσμιου οικοσυστήματος της ασφάλειας στον κυβερνοχώρο, είναι πολύ σημαντικό για να είναι ευάλωτος.
Σκοπός του Ιδρύματος CVE είναι να εξαλείψει αυτό το μοναδικό σημείο άρνησης στο οικοσύστημα διαχείρισης ευπάθειας και να διασφαλίσει ότι το πρόγραμμα CVE παραμένει σε μια παγκοσμίως αξιόπιστη, κοινοτική πρωτοβουλία.
Επίσης: ο επικεφαλής του τμήματος ασφαλείας των ΗΠΑ παραιτήθηκε. Τι τώρα;
Κάθε ειδοποίηση ασφαλείας στη λίστα CVE περιέχει ένα μοναδικό αναγνωριστικό που ονομάζεται CVE Identifier, μια περιγραφή των τρωτών σημείων και των συνδέσμων πληροφοριών. Το σύστημα επιτρέπει στους οργανισμούς, τους ειδικούς ασφαλείας και τους προμηθευτές να επικοινωνούν με σαφήνεια και σταθερά σχετικά με συγκεκριμένες ελλείψεις ασφαλείας. Αυτό, με τη σειρά του, συμβάλλει στη διευκόλυνση των προσπαθειών για την παρακολούθηση, την αξιολόγηση και την αποκατάσταση. Τα περισσότερα CVE έχουν εκχωρηθεί γενική αξιολόγηση του συστήματος αξιολόγησης ευπάθειας (CVSS). Πρόκειται για μια αριθμητική βαθμολογία, στην περιοχή από 0 έως 10, όπου όσο υψηλότερη είναι η βαθμολογία, τόσο πιο επικίνδυνη είναι η τρύπα ασφαλείας. Οι αξιολογήσεις CVSS χρησιμοποιούνται συνήθως για να αποφασίσουν πόσο γρήγορα είναι απαραίτητο να λύσουμε το πρόβλημα.
Μείνετε μπροστά στα νέα σχετικά με την ασφάλεια Τεχνολογία σήμεραΠαραδίδεται στο γραμματοκιβώτιό σας κάθε πρωί.
