Avrupa Birliği Siber Güvenlik Ajansı (ENISA), AB genelinde dijital güvenliği artırmayı amaçlayan NIS2 Direktifi uyarınca bir girişim olan Avrupa Güvenlik Açığı Veritabanını (EUVD) tanıttı. Veritabanı, BİT ürün ve hizmetlerini etkileyen siber güvenlik güvenlik açıkları hakkında toplu ve eyleme geçirilebilir bilgiler sunan merkezi bir depo olarak hizmet vermektedir.
Avrupa Güvenlik Açığı Veritabanı: Özellikler ve Erişilebilirlik
EUVD, bilgisayar güvenliği olayı müdahale ekipleri (CSIRT’ler), satıcılar ve mevcut veritabanları dahil olmak üzere birçok kaynaktan halka açık bilgilerin yüksek düzeyde birbirine bağlanmasını sağlamak için tasarlanmıştır. Üç farklı gösterge paneli görünümü sunar:
- Kritik güvenlik açıkları: Güvenlik açıklarını şiddetli sonuçlarla vurgulamak.
- Sömürülen güvenlik açıkları: Şu anda sömürülmekte olan güvenlik açıklarına odaklanmak.
- AB koordineli güvenlik açıkları: Avrupa CSIRS tarafından koordine edilen güvenlik açıklarını sergiliyor.
Veritabanındaki her giriş, güvenlik açığı, etkilenen BİT ürünleri veya hizmetleri, şiddet seviyeleri, sömürü yöntemleri ve mevcut hafifletme önlemleri veya yamalarının bir açıklamasını içerir.
Veritabanına, ağ ve bilgi sistemleri tedarikçileri, hizmetlerini kullanan kuruluşlar, yetkili ulusal yetkililer, özel şirketler ve araştırmacılar da dahil olmak üzere halka erişilebilir.
“Bu bir süredir çalışmalarda olsa da, son zamanlarda Miter’in CVE finansmanı çevresindeki kaos göz önüne alındığında, Avrupa’nın kendi güvenlik açığı veritabanından çıkmayı hızla izlemesi şaşırtıcı değil. Sadece AB için egemenlik perspektifinden değil, aynı zamanda gelecekteki finansmanı ve canlılığı net olmayan tek bir sisteme olan güvenini azaltmak için akıllı bir hareket olduğunu düşünüyorum” dedi.
“Enisa için COO, bu yıl RSAC’da ve bu konu hakkında sohbet etme ve bu konu hakkında sohbet etme fırsatı bulduktan sonra, bu iki sistemin, CVE ve CWE ekosistemlerine, bir yerine geçmenin aksine, kendi önde gelenleri sağladıkları için, bu iki sistemin, kendi önde gelenleri sağladıkları için, kendi ön plana sahip oldukları için birlikte, birlikte olduğu gibi, aynı şekilde, kendi ön plana sahip oldukları için, kendi ön plana sahip oldukları için, kendi ön plana sahip oldukları için, kendi ön plana sahip oldukları için olduğu gibi görünüyor. Sadece politika değil, pratiklik ve birlikte çalışabilirlik hakkında düşündüklerini gösteren MITER ”dedi.
Alternatif CVE veritabanları: fazlalık mı yoksa esneklik mi?
Bazıları, MITER’in CVE veritabanına alternatiflere duyulan endişelerle ilgili endişeleri artırmış olsa da, herkes bunu acil bir öncelik olarak görmüyor.
NetRise CEO’su Thomas Pace, “MIERS CVE veritabanına bir alternatif için mutlak bir ihtiyaç var mı? Hayır,” dedi. “Şu anda Miter’in veritabanına birçok alternatif var. İdeal olarak, zaten var olan birçok güvenlik açığı veritabanından verileri toplayacak bir kuruluş konsorsiyumu olacaktı.”
Son tartışmalara rağmen, yeni bir CVE veritabanı başlatmanın teknik ve politik sonuçları abartılabilir. “Teknik bir önem yok. Başka bir CVE veritabanı eklemede ek siyasi önem gibi görünmüyor,” dedi Pace, hükümetlerin CVE açıklamalarını nasıl yönettikleri konusunda zaten farklı olduklarını belirtti. “Örneğin, bir hükümetin CVES’i rapor ettikten sonra veritabanından çektiği olaylar var.”
Yazılım topluluğunun yeni bir CVE kaynağına nasıl tepki verebileceğine gelince, Pace bunun dikkate alınması gereken bir yem olarak ele alınabileceğini öne sürdü. “Bu sadece değeri topluluk tarafından değerlendirilecek başka bir veri kaynağının dahil edilmesini içerecektir.”
Bununla birlikte, daha fazla gözetim veya karmaşıklık ekleme olasılığı, güvenlik açığı raporlamasının mevcut dinamiklerini değiştirebilir. Pace, “Şey olabilecek şey, şirketlerin artık kendi kendini bildirmeyecekleri” dedi. “Bir düzenleyicinin bir organda bir bilgi paylaşımı ve analiz merkezi olması gibi. Şirketlerin CNA’ların çoğu olmasının çoğu, yazılımlarıyla ilişkili güvenlik açıklarının raporlanmasına sahip olduklarından emin olmaktır ve hepsi henüz iyileştiremedikleri güvenlik açıklarını bildirmeyecektir.”
Enisa’nın rolü ve gelecekteki gelişmeleri
Ocak 2024’ten bu yana ENISA, koordineli açıklama için AB CSIRT’ler tarafından keşfedilen veya AB CSIRS tarafından keşfedilen güvenlik açıklarını kaydettirmesine izin veren ortak bir güvenlik açıkları ve maruziyet (CVE) numaralandırma otoritesi (CNA) olarak yetkilendirilmiştir.
ENISA, 2025 yılı boyunca EUVD ve ilgili hizmetleri daha da geliştirmeyi planlıyor ve platformun operasyonel ihtiyaçlar ve teknolojik gelişmeler doğrultusunda gelişmesini sağlamak için paydaşlardan geri bildirimleri içeriyor.
“Güvenlik açığı bilgileri için birden fazla kaynakta gezinmek CISO’lar için yeni zorluklar yaratabilirken, yeni hizmet iyi bir başlangıç yapıyor gibi görünüyor. AB, programı yıl boyunca analiz edilmesi ve küratörlüğünün katlanarak büyüyen CVE’lerin sayısı olarak yönetilip yönetilemeyeceğini söyleyecek. Williams, kontrast güvenliği CTO.