Geçen hafta Amerika Birleşik Devletleri hükümetinin geniş kapsamlı bir sarsıntısının ortasında tamamen kapatılmaya yaklaşan MITER’in Ortak Güvenlik Açıklıkları ve Kazanmaları (CVE) programı, CVE numaralandırma otoritesi (CNA) olarak siber maruz kalma yönetimi uzmanı Armis’i belirledi.
Bu, programın mümkün olduğunca birçok güvenlik sorunu tanımlama, tanımlama ve kataloglama misyonunu destekleyen yeni keşfedilen güvenlik açıklarını CVE tanımlayıcılarını inceleyebileceği ve atayabileceği anlamına gelir.
Armis CTO ve kurucu ortağı Nadir Izrael, “Bir saldırıdan önce, sadece sonra değil, gerçek güvenlik sağlamak için tespitin ötesine geçmeye odaklandık” dedi. “Tüm endüstrilerde siber güvenlik bilinci ve eyleminin gelgitini artırmaya yardımcı olmak bizim görevimiz ve hedefimizdir. Bu, siber tehditlerin tüm yaşam döngüsünü etkili bir şekilde ele almanın ve toplumu güvende tutmak için siber riske maruz kalmayı yönetmek için anahtardır.”
Miter şu anda dünya çapında 450 CNA’nın uzmanlığından yararlanıyor – yaklaşık 250 ABD’de, ancak 12’si İngiltere’de. Tam liste, Amazon, Apple, Google, Meta ve Microsoft gibi dünyanın en büyük teknoloji firmalarının yanı sıra diğer tedarikçilerin ve devlet kurumlarının ve bilgisayar acil müdahale ekiplerinin (CERTS) bir litani içerir.
Listelenen tüm kuruluşlar gönüllü olarak katılmaktadır ve her biri kamuya açık bir güvenlik açığı açıklama politikası, yeni açıklamalar için bir kamu kaynağı ve programın TS & CS’yi kabul etmeyi taahhüt etmiştir.
Buna karşılık, katılımcılar, katılımcıların müşterileri için güvenlik açıklarına karşı olgun bir tutum gösterebileceklerini ve katma değerli güvenlik açığı bilgilerini iletebileceğini söylüyor; katılımlarının kapsamındaki güvenlik açıkları için CVE salım sürecini kontrol etmek; diğer CNA’larla bilgi paylaşmak zorunda kalmadan CVE ID’leri atamak; ve güvenlik açığı açıklama sürecini kolaylaştırmak.
Bu kadroya Armis’in eklenmesi, iptal için ne kadar yakın geldiği göz önüne alındığında, programın daha geniş geleceğine ilişkin belirsizliğin ortasında geliyor. Olay sonrasında, güvenlik topluluğundaki birçok kişi CVV’lerin nasıl yönetildiğine dair bir sarsıntı gecikmiş olduğunu savundu.
Risk Yönetimi Uzmanı Spektion CEO’su Joe Silva, “Bu finansman kesintisi, güvenlik stratejiniz için önemli bir gerçeğin altını çiziyor: CVE tabanlı güvenlik açığı yönetimi, etkili güvenlik kontrollerinin temel taşı olarak hizmet edemez. En iyi ihtimalle, güvenilmez kaynaklara sahip bir program tarafından desteklenen bir gecikmeli gösterge” dedi.
“Güvenlik açığı yönetiminin geleceği, sadece potansiyel güvenlik açıklarını kataloglamak yerine çalışma zamanındaki gerçek sömürülebilir yolları belirlemeye odaklanmalıdır. Kuruluşunuzun risk duruşu, bir hükümet sözleşmesinin yenilenmesine bağlı olmamalıdır.
“Finansman sağlansa da, bu, titrek hükümet finansmanına bağımlı bir patchwork kitle kaynaklı bir çaba olan CVE sistemine güvenerek daha da artıyor. CVE programı zaten yeterince kapsamlı ve zamanında değildi ve şimdi de daha az istikrarlı.”
Açık Veriler
Bu arada, Armis bugün tescilli güvenlik açığı istihbarat veritabanını (VID) tüm gelenlere ücretsiz hale getirerek güvenlik açığı yönetimi yeteneklerini genişletiyor.
Firmanın şirket içi ARMIS Labs birimi tarafından desteklenen topluluk odaklı veritabanı, erken uyarı hizmetleri ve varlık istihbaratı sunar ve kullanıcılarının, dikey endüstrilerini etkilemeden önce ortaya çıkan güvenlik açıklarını geliştirme yeteneğini geliştirmek için sürekli bir kalabalık zeka akışı ile beslenir ve bu tür sorunları geniş bir şekilde kullanılmadan önce harekete geçer.
Izrael, “Tehdit aktörleri siber saldırıların ölçeğini ve karmaşıklığını artırmaya devam ettikçe, riski azaltmak için proaktif bir yaklaşım esastır” dedi.
“Armis Güvenlik Açığı İstihbarat veritabanı, güvenlik topluluğu tarafından güvenlik topluluğu için oluşturulan kritik, erişilebilir bir kaynaktır. Güvenlik açığı verilerini gerçek dünya etkisine dönüştürür, böylece işletmeler hızlı bir şekilde adapte olabilir ve siber tehditleri yönetmek için daha bilinçli kararlar verebilir.”
Armis, şu anda, siber saldırı kurbanlarının% 58’inin sadece hasar yapıldıktan sonra tehditlere reaktif olarak tepki verdiğini ve BT karar vericilerinin sürekli güvenlik açığı değerlendirmesinin eksikliğinin güvenlik operasyonlarında önemli bir boşluk olduğunu ve sorunları daha hızlı ele almak için daha fazlasını yapmanın zorunlu olduğunu söyledi.