Yönetişim ve Risk Yönetimi, BT Risk Yönetimi, Yama Yönetimi
Kurul üyeleri, programın geleceğini güvence altına almak için ‘CVE Foundation’ lansmanını duyurdu
Mathew J. Schwartz (Euroinfosec) •
16 Nisan 2025
Ortak güvenlik açıkları ve maruziyet programının yakın aksaması veya yönetimin kapatılması nedeniyle ortaya çıkan küresel siber güvenlik riski üzerinde uyarılar ortaya çıkıyor. Yeni organizasyon için ayrıntılar ve finansman belirsizliğini korumakla birlikte, bağımsız bir temel şeklinde bir düzeltme yapılabilir.
Ayrıca bakınız: İhlaller biz akıllıca olana kadar durmayacak
CVE’yi ve ortak zayıflık sayımı yazılım ve donanım zayıflıkları listesi de dahil olmak üzere diğer programları yöneten Federal Sözleşme Firması, CVE Kurulu üyelerine acil bir Salı mektubu yayınladı ve “Miter’in CVE ve CWE gibi diğer ilgili programlar geliştirmesi ve modernize edilmesi, ABD hükümeti tarafından yenilenmemiş olan ve 24 saat içinde ortaya çıkmadığı konusunda uyardı.
“Hizmette bir kırılma meydana gelecekse, ulusal güvenlik açığı veritabanlarının ve danışmanların, araç satıcılarının, olay müdahale işlemlerinin ve her türlü kritik altyapının bozulması da dahil olmak üzere CVVE için birden fazla etki öngörüyoruz.” Dedi.
Başkan Joe Biden’in ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı Başkanı olarak görev yapan Jen Easterly, “Bu teknik bir sorun gibi görünse de, iş riski, operasyonel dayanıklılık ve ulusal güvenlik için ciddi etkileri var.” Dedi.
Bilgi paylaşım çerçevesinde herhangi bir kesinti “haklı olarak siber güvenlik topluluğunda alarmlar yükseltiyor” dedi. Belirli riskler, daha yavaş olay yanıtı ve veri ihlali, fidye yazılımı saldırısı veya diğer büyük güvenlik olayı riskinin artması nedeniyle işletmeler için daha yüksek güvenlik ve uyumluluk maliyetlerini içeriyor.
Buna karşılık, Çarşamba günü aktif, uzun süredir CVE yönetim kurulu üyelerinden oluşan bir koalisyon, geçen yıl için bu en kötü senaryoya hazırlandıklarını söyleyerek yeni, kar amacı gütmeyen bir CVE Vakfı’nın başlatıldığını duyurdu.
Vakfın nasıl finanse edilebileceği belirsizliğini koruyor ve bir yapışma noktası haline gelebilir. “Önümüzdeki günlerde vakıf yapısı, geçiş planlaması ve daha geniş topluluktan katılım fırsatları hakkında daha fazla bilgi yayınlayacak.” Dedi.
MIERSTIONSTING kesintileri, Elon Musk’un Federal Maliyet Kesme Görev Gücü, Hükümet Verimliliği Bakanlığı’nın sonucu gibi görünmektedir (bkz: Bilgi uçurma, doge doge’u veri hasatını örtbas etmekle suçluyor).
Kâr amacı gütmeyen bir MITER, onlarca yıl boyunca devlete ait, yüklenici tarafından işletilen araştırma merkezlerinde kamu-özel ortaklıklarına öncülük ediyor, çeşitli federal kurumları ve görevlerini desteklemek için araştırma ve prototip projeleri yürütüyor. Bu, 1999 yılında başlatılan CVE programını, açıkça ifşa edilen siber güvenlik güvenlik açıklarını tanımlamak, tanımlamak ve kataloglamak için – aslında bunu yapmak için ortak, uluslararası bir dil yaratmak. Sözde CVES, Ulusal Bilgisayar Acil Müdahale Ekiplerinin kuruluşlara rehberliğinin temel taşı olarak hizmet vermektedir, kurumsal güvenlik açığı yönetimi çabalarına rehberlik etmek ve öncelik vermek ve satıcıları kod güvenliğini hesaba katmak için tutar.
Bilgi ve etkinlik yönetim platformu Securonix’te kıdemli bir tehdit araştırmacısı Tim Peck, “CVE programı temel altyapıdır” dedi. Sadece ‘referanslı listeye’ sahip olmak güzel değil, aynı zamanda özel sektör, hükümet ve açık kaynak genelinde güvenlik açığı koordinasyonu, önceliklendirme ve müdahale çabaları için birincil bir kaynak. “
Birden fazla savunma aracı CVE meta verilerine dayanmaktadır. Bilgiler aynı zamanda CISA’nın bilinen sömürülen güvenlik açıkları kataloğu gibi programlar için – federal ajanslar için yama öncelikleri ayarlamak için kullanılan – diğer ulusal siber güvenlik kurumlarının yerli rehberliği (bkz: bkz: bkz: Sıfır Günler En İyi Siber Güvenlik Ajanslarının En Sızdırılmış Listesi).
CVE programı mükemmel değildi. Son yıllarda, güvenlik araştırmacıları, gönderdikleri CVES güvenlik açıklarını atayan generyada sıklıkla gecikmeler bildirdiler. Birçoğu bunu keşfedilen ve kataloglanması gereken güvenlik açıklarındaki artışa kadar takip etti. Güvenlik Araştırması Jerry Gamblin, yayınlanan CVV’lerin 2023’te 28.818 CVE’den 2024’te yaklaşık% 40 artışla 40.009’a yükseldiğini söyledi.
CVE raporları, güvenlik firmaları, devlet kurumları ve Shadowserver Vakfı gibi kar amacı gütmeyen kuruluşlar dahil olmak üzere bir dizi üçüncü taraf kuruluş tarafından açılır; kusurları kendi ve başkalarının ürünlerinde açıklayan satıcılar; Massachusetts merkezli güvenlik açığı istihbarat şirketi Vulncheck’e göre, bağımsız güvenlik araştırmacıları.
Birçok CVE derhal dikkat gerektirir, çünkü saldırganların zaten vahşi doğada sömürdüğü sömürüleri kataloglarlar. 2024’te Vulncheck, yayınlanmış CVES’in 768’inin, 2023’te 639 CVVE’den% 20 artışla vahşi doğada kullanıldığı bildirildiğini söyledi.
CVE Foundation’ın ne kadar çabuk kalkabileceği ve yaygın olarak almayı teşvik edebileceği henüz net değil. Kaliforniya merkezli kitle kaynaklı güvenlik firması Bugcrowd’un kurucusu Casey Ellis, “Umarım bu durum hızla çözülür.” Dedi. Diyerek şöyle devam etti: “Hizmetlerde ani bir kesinti, kısa sürede ulusal bir güvenlik sorununa girme potansiyeli var.”
Kısa vadeli bir çözüm olarak Vulncheck, “önümüzdeki günler ve haftalarda topluluk için CVE ödevleri gerçekleştirme” ve bunu kolaylaştırmak için 2025 için “proaktif olarak önceden tahsis edilmiş” ve daha fazlasını almaya çalışacak.
Yeni bir CVE ataması kazanmak isteyen herkes, Greynoise Intelligence, Horizon3.Ai ve WatchTowr dahil olmak üzere birden fazla tehdit istihbarat şirketi tarafından zaten kullanılan şirketin raporlama hizmetine erişebilir.
CVE Foundation’ın çalıştığı ve çalışmaya başladığını varsayarsak, lansman duyurusu, MITER’ın çalıştığı ortak zayıflıklar numaralandırma projesine öncülük etmeye çalışıp çalışamayacağı belirsizdir. Securonix’in Peck, CWE projesinin “yazılım zayıflığı sınıflandırması ve önceliklendirmesi için hayati öneme” ve bununla ilgili herhangi bir kesintinin “güvenli kodlama uygulamalarını ve risk değerlendirmelerini etkileyeceğini” söyledi.