CVE programını çalıştırmak için MITER sözleşmesinin ani feshedilmesinin ardından, bir grup güvenlik açığı uzmanı ve MITER’in mevcut CVE Kurulu üyeleri, programın geleceğini korumak amacıyla yeni bir kar amacı gütmeyen kuruluş başlattı.
CVE Foundation’ın kurucuları, bugüne kadar (16 Nisan), Sözleşme Altında Getirme ve Yönetim tarafından sağlanan gözetim ve yönetim ile bugüne kadar (16 Nisan) ABD hükümet tarafından finanse edilen bir girişim olarak işletilen 25 yıllık CVE programının sürekliliğini, yaşayabilirliğini ve istikrarını sağlamak istiyor.
Miter’in son haftalarda baltalanan bir dizi mitre tarafından tutulan hükümet sözleşmelerinden biri olan CVE programı sözleşmesinin kaybının etkisi olmadan bile, DC-bölgesi yüklenicisinde işten çıkarılmalara yol açmıştır-CVE kurulu üyeleri, bu tür küresel olarak bağımsız bir kaynağın sürdürülebilirliği ve nötrlüğü konusunda uzun süredir devam eden kaygılara sahip olduklarını söylüyor.
Miter’in Yosry Barsoum’un CVE programının bu hafta tehdit altında olduğu uyarısında bir mektuptan sonra endişeleri aniden arttı. Vakıf memuru Kent Landfield, “Küresel siber güvenlik ekosisteminin temel taşı olarak CVE, savunmasız olmak için çok önemli” dedi.
“Dünyanın dört bir yanındaki siber güvenlik profesyonelleri, güvenlik araçlarından ve tavsiyelerinden istihbarat ve tepkiye kadar günlük çalışmalarının bir parçası olarak CVE tanımlayıcılarına ve verilere güveniyorlar. CVE olmadan, savunucular küresel siber tehditlere karşı büyük bir dezavantajlı.”
Kurucular, bugün asla gelmeyeceğini umduklarında, CVE sistemini özel, bağımsız bir kar amacı gütmeyen kuruluşa dönüştürmek için bir strateji oluşturmak için geçen yılı arka planda özenle çalıştıklarını söyledi.
Miter’in aksine-başlangıçta Boston’daki MIT’de şimdi birden fazla Ar-Ge çabası uygulayan bir bilgisayar araştırması, CVE Foundation yalnızca yüksek kaliteli güvenlik açığı tanımlaması sunmaya ve mevcut CVE program veritabanının dünya çapında güvenlik uzmanları adına bütünlüğünü ve kullanılabilirliğini korumaya ayrılacaktır.
Vakıf, resmi lansmanının “güvenlik açığı yönetimi ekosistemlerinde tek bir başarısızlık noktasını ortadan kaldırmaya yönelik büyük bir adım” olduğunu ve programın güvenilir, topluluk güdümlü bir kaynak olarak itibarını korumaya işaret ettiğini söylüyor.
Kurucular, “Uluslararası siber güvenlik topluluğu için, bu hareket, günümüzün tehdit manzarasının küresel doğasını yansıtan yönetişim kurma fırsatını temsil ediyor” dedi.
Şokta topluluk
Her ne kadar CVE programı yazarken devam ediyor ve çalışıyor olsa da, son saatlerde Github’a yapılan yeni taahhütlerle, sözleşmenin iptaline tepki hızlı ve korkutuyordu.
Bir saldırı yüzeyi keşif uzmanı ThingsRecon’da STK ve başkan yardımcısı Tim Grieveson, “25 yıllık tutarlı kamu finansmanı ile CVE çerçevesi güvenlik programları, satıcı yayınları ve risk değerlendirme iş akışlarına gömüldü” dedi. “Onsuz, güvenlik açıklarını etkili bir şekilde tanımlamak ve ele almak için güvenlik ekiplerini uyumlu tutan ortak dili kırıyoruz.
“Güvenlik açığı verilerinin paylaşılmasındaki gecikmeler yanıt sürelerini artıracak ve tehdit aktörlerine üstünlük sağlayacaktır” diye ekledi. “SEC, NIS2 ve DORA gibi düzenlemeler gerçek zamanlı risk görünürlüğü talep ederek, risk maruziyetinin anlaşılamaması ve gecikmeli yanıtlar etkili bir şekilde tepki verme yeteneğini ciddi şekilde engelleyebilir.”
Grieson, kapanma karşısında mevcut esneklik seviyelerini korumak için, güvenlik liderlerinin kuruluşların saldırı yüzeyleri ve tedarikçileri hakkında net bir şekilde anlaşılmasını sağlamaları önemlidir.
Buna ek olarak, güvenlik topluluğundaki işbirliği ve bilgi paylaşımı zaten olduğundan daha da önemli hale gelecektir.
Yorkshire merkezli penetrasyon testi ve güvenlik hizmetleri sağlayıcısı Pentest People’da profesyonel hizmetler başkanı Chris Burton, serin kafaların hüküm süreceğini umduğunu söyledi.
“Hükümetin Mither CVE programı için finansman çekmesi konusunda endişeler tamamen anlaşılabilir; güvenlik endüstrisi için rahatsız edici bir gelişme” dedi.
Burton, “Sorun tamamen finansal ise, kitle fonlaması ileriye doğru uygulanabilir bir yol sunabilir ve birçok kişinin inandığı bir proje için kamu desteği toplayabilir” diye ekledi Burton. “Eğer operasyonel ise, özel bir topluluk kurulunun içeri girmesi ve liderlik etmesi için bir fırsat olabilir.
“Her iki durumda da, bu son değil, yeniden düşünmek ve yeniden tasarlamak için bir şans. Henüz panik yapmayalım; hala küresel bir topluluk olarak masada seçenekler var. Sanırım bunun nasıl ortaya çıktığını görmeliyiz.”
Güvenlik profesyonelleri için sonraki adımlar
Daha pratik bir düzeyde, Grieveson güvenlik ekiplerinin şu anda atması için bazı ek adımlar paylaştı:
- Veritabanının kararması gerektiğini bilmek için CVE beslemelerine ve API’lara dahili takım bağımlılıklarını harita;
- Güvenlik açığı zekasını korumak için alternatif kaynakları belirleyin, mevcut, ortaya çıkan veya tarihi olsun, tehditlerin kapsamlı bir şekilde kapsamını sağlamak için bağlam, iş etkisi ve yakınlığına odaklanın;
- Taktikleri, araçları ve tehdit aktör verilerini proaktif olarak yararlanmak için endüstriler arası zeka paylaşımını hızlandırın.