Yönetişim ve risk yönetimi, hükümet, sektöre özgü
AB Siber Güvenlik Ajansı tarafından işletilen EUVD, azaltma önlemlerini, sömürü durumunu izler
Mathew J. Schwartz (Euroinfosec) •
13 Mayıs 2025
Avrupa tarafından işletilen ortak güvenlik açıkları ve maruziyet programının, küresel bir siber güvenlik standardı statüsüne rağmen kapanışlı bir fırçaya sahip olmasından sadece haftalar sonra, Avrupa’nın yeni güvenlik açığı izleme hizmeti artık tamamen canlı.
Ayrıca bakınız: Ondemand | Gelişmiş uç nokta stratejileri aracılığıyla sıfır güven hedeflerinize nasıl ulaşabilirsiniz?
Avrupa güvenlik açığı veritabanı, yazılım ve donanımdaki bilinen güvenlik açıklarına ilişkin toplu, kamuya açık bilgilere erişmek için tek noktadan bir mağaza olacak şekilde tasarlanmıştır.
Enisa, Avrupa Birliği Siber Güvenlik Ajansı tarafından işletilen veritabanı, yalnızca güvenlik açığı ayrıntılarını değil, aynı zamanda mevcut yamalar ve hafifletmelerden oluşan “birden fazla kaynaktan gelen kamuya açık bilgilerin yüksek düzeyde bağlantılı” sağlamak için oluşturulduğunu söyledi.
“AB güvenlik açığı veritabanı, Avrupa’nın güvenliğini ve esnekliğini güçlendirmek için büyük bir adımdır.” Dedi.
Siber güvenlik ajansı, şimdi güvenlik açığı veritabanının nasıl daha fazla hassaslaştırılacağı ve geliştirileceği konusunda aktif olarak kamu geri bildirimleri talep ettiğini söyledi.
Avrupalı yetkililer, kamuya açık olan EUVD’nin kullanıcılara üç farklı gösterge tablosu sunduğunu söyledi: biri kritik güvenlik açıkları, biri sömürülen güvenlik açıkları ve diğeri AB koordineli güvenlik açıkları için. İkinci güvenlik açıkları, ulusal takımlar ve AB’nin kendi CERT-AB ekibinden oluşan Avrupa CSIRT ağı tarafından koordine edilmektedir.
Veritabanı, bilgilerini Avrupa genelinde bulunan bilgisayar güvenliği olayı müdahale ekiplerinden alır. Diğer bilgi kaynakları arasında ABD kar amacı gütmeyen generalin ortak güvenlik açıkları ve maruziyet programı dahil olmak üzere satıcılar ve güvenlik açığı veritabanları bulunmaktadır.
CVE programı geçen ay, MITER’in federal fonunun sona ermek üzere olduğu konusunda uyardığı belirsiz bir gelecekle karşılaştı. CISA, programın 11 ay boyunca finansmanını genişletti, ancak programın tüm gönüllü yönetim kurulunun bazı üyeleri, Trump yönetiminin uzun vadeli taahhüdünden endişeler nedeniyle fon ve yönetişimi çeşitlendirmek için fon yaratma çabası başlattı.
Bir Avrupa Siber Güvenlik Ajansı sözcüsü, Bilgi Güvenlik Medya Grubuna verdiği demeçte, “CVE desteği siber güvenliğin ayrılmaz bir parçasıdır ve ortak güvenlik açıkları ve maruziyet programının işletilmesi güvenlik açığı yönetimi için anahtardır.” Diyerek şöyle devam etti: “Enisa, ortak güvenlik açıkları ve maruziyet programının finansmanı hakkındaki duyuruyu takiben etkiyi ve sonraki adımları anlamak için MITER ile temas halinde.”
Siber güvenlik topluluğundaki diğer birçok kişi de 1999’dan beri güvenlik açıkları hakkında kesin bir bilgi kaynağı sağlayan CVE programında ne olacağını görmek için dikkatli bir şekilde bekliyor. Siber güvenlik araştırmacısı Daniel Cuthbert, “satıcıları dürüst tutmak ve onları hesaba katmak için” hizmet etti (bkz: bkz: bkz: Mitre sonrası yönetim arayışı: CVE programı için sırada ne var?).
Beardsley, “Ocak ayına kadar Cisa’nın bilinen sömürülen güvenlik açıkları kataloğunu yöneten Beardsley,” Beni ve diğer insanları tahtadaki diğer insanları çok daha ciddi hale getirmeye itmek için yeterli “dedi. CISA’nın KEV Listesi: Gerçek dünyadaki siber savunma için gerekli).
Bu ayın başlarında San Francisco’daki RSAC Konferansı’nda yapılan bir röportajda Beardsley, bilgi güvenliği medyası grubunun CVE Vakfı’nın amacının “CVE’yi önemseyen insanlardan gerçekten para toplamak ve bunu hafif tutma” diye açıklamak “,” MITER’in himayesinde tutarken.
Gönderen ABD dışındaki hükümet finansmanı alıp alamayacağı konusunda yasal soru çözülmüş gibi görünmektedir. Beardsley, İnternet’i doğuran gelişmiş Araştırma Projeleri Ajansı ağı – ARPANET – ya da şu anda kısmen hükümet dışı kaynaklar tarafından desteklenen Mither Saldırı Çerçevesi gibi fon akışlarını büyüten ve çeşitlendiren çok sayıda hükümet projesi olduğunu söyledi.
NIS2 Direktifi Gereksinimi
Bir AB güvenlik açığı veritabanı uygulama gereksinimi, 2022’de Avrupalı milletvekilleri tarafından onaylanan ve “Birlik genelinde yüksek ortak siber güvenlik seviyesi” sağlayan önlemleri teşvik etmek üzere tasarlanmış NIS2 Direktifinden geliyor.
Diğer önlemlerin yanı sıra yasa, AB üye devletlerinin ulusal siber güvenlik stratejileri benimsemesini, siber güvenlik ve olay müdahale ekiplerini yönetmek için yetkili makamlar oluşturmasını ve siber güvenlik bilgilerini paylaşmasını gerektirir.
Hareketler, AB Üye Devletleri tarafından bölgede daha sağlam bir dayanıklılık yaratmak için daha geniş bir zorlamanın bir parçasıdır ve aynı zamanda sistemik krizleri önler (bkz: bkz: AB, artan siber tellerle ortak esneklik itme ile yüzleşir).
Güvenlik ürün satıcılarının EUVD kimliklerini yutma yeteneği ne kadar hızlı sunacakları açık değil.
Ocak 2024’ten bu yana ENISA, başka bir CNA’nın kapsamı altına girmemeleri koşuluyla, AB CSIRT’ler tarafından keşfedilen ürünlerde CVV’ler atamasına izin veren bir CVE numaralandırma otoritesi veya CNA olarak da hizmet vermiştir.
Şu anda CVE programı 40 ülkeden 453 CNA saymaktadır.
Hangi koşullar altında veya eğer ENISA, gelecekteki güvenlik açıklarını tanımlamak için bir EUVD kimliğinden ziyade bir CVE kimliği atamayı seçebilir.
Ne olursa olsun, bazı güvenlik uzmanları, güvenlik açıklarını yönetmek için daha fazla direnç sağlamak için EUVD sisteminin lansmanına övgüde bulundu. “Siber güvenlikte, artıklık savurgan değil. Akıllı. Siber güvenlikte yaygın bir uygulamadır. Öyleyse, neden güvenlik açığı izlemesine getirmiyorsunuz?” Ferhat Dikbiyik, üçüncü taraf risk yönetimi firması Black Kite’ın baş araştırma ve istihbarat memurunu söyledi.
“Yıllarca, dünya neredeyse sadece CVE sistemine güveniyor. Çalışıyor, ancak son finansman sorunları tüm güvenimizi tek bir iş parçacığına koyma tehlikesini gösteriyor.”