Mitre tarafından işletilen ortak güvenlik açıkları ve maruziyetleri (CVE) programının önemi abartılmamalıdır. 25 yıl boyunca, siber güvenlik profesyonellerinin güvenlik kusurlarını anlamaları ve azaltması için referans noktası olarak hareket etti. Bilinen güvenlik açıklarını adlandırmak ve kataloglamak için standart bir yöntem sağlayarak, savunuculara gerçek dünya tehditlerini anlamak, öncelik vermek ve yanıtlamak için ortak bir dil sunar.
Program geleneksel olarak ABD hükümetinin operasyonları sürdürmek için finansmanına ve maalesef aynı ölçekte çalışan eşdeğer veritabanlarına güvenmiştir. Böylece, ABD hükümetinin programın vesayetini geri çekme kararı, endüstri sürpriz ve endişesi ile karşılandı.
Federal finansmanın 11 aylık bir uzantısı kısa vadeli bir rahatlama sağlar, ancak küresel siber savunmanın güvendiği bir sistemin uzun vadeli istikrarı hakkındaki genel endişeleri hafifletmek için çok az şey yapar.
Söz konusu programın gelecekteki bütçesi ve yönetimi ile güvenlik endüstrisi rahatsız edici bir soru ile karşı karşıyadır: Bu kritik ortak altyapı parçası olmadan nasıl hazırlıklı ve hizalanırız?
CVE programının eğitime ve hazırlığa uygulanması
Birçok siber güvenlik uzmanı için CVE programı, uygulamalı siber güvenlik uygulaması ve güvenlik hazırlığının önemli kıyaslanmasının temelidir.
Eğitim tatbikatları gerçek dünya senaryoları tarafından bilgilendirilmelidir. CVE programının uygulanması, güncel saldırı simülasyonları ile, bilinen güvenlik açıklarına odaklanarak, kırmızı ve mavi ekipler arasındaki işbirliğini ve yanıtı geliştirerek önemli Mor ekip eğitiminin geliştirilmesine yardımcı olur. Nihayetinde, takımların en yaygın tehditlere karşı eğitim almasını ve gelişen olanların üstünde kalmaya devam etmelerini sağlar.
Programın doğruluğu, kategorizasyon tutarsızlıkları, gecikmeler veya değişken finansman yoluyla bozulduğunda, dalgalanma etkisi vardır. Eğitim senaryoları gecikmeye başlayabilir. Bu, siber güvenlik profesyonellerinin geride kaldığı ve güncel olmayan savunma stratejilerine ve eğitime yol açabilecek mevcut saldırı anlayışlarına erişemeyebileceği anlamına gelir.
Bu kör noktalar zamanla birleşecek, siber ekiplerin ve kuruluşların siber güvenlik hazırlığını ve aktif tehditlere karşı savunma yeteneklerinden ödün verecek. Bu, ekiplerin mevcut tehditlere hazırlanırken, modası geçmiş tehditlere hazırlanarak zaman harcayabileceği anlamına gelir.
Risk dışında, bu, krizlerin ön saflarında çalışan siber profesyoneller üzerinde önemli zaman ve kaynak baskısı yerleştirir. Bu, potansiyel olarak gelişen saldırılar için iyi hazırlıklı hissetmeyecek ekipler içinde güven azalmasına yol açabilir. Kuruluşlar ve çalışanları için büyük yankılara sahip bir kartopu etkisidir.
Siber ekosistemdeki dalgalanma etkisi
Kırık veya etkisiz bir CVE programı tüm iş ortamını etkiler. CVE programının yararı, hem küçük işletmelerden hem de çokuluslu şirketlerden profesyonellerin bilinen güvenlik açıkları etrafında gerçek zamanlı bildirimlere erişebilmeleridir. Parçalanmış tehdit istihbaratı, yamada gecikmeler ve ekipler ve kuruluşlar arasında tutarsız iletişim potansiyel etkilerdir.
Sağlık, finans ve enerji gibi kritik sektörlerde, güvenlik açığı tepkisinde kısa bir gecikme bile, içerilen bir saldırı ile başarılı bir saldırı arasındaki fark anlamına gelebilir. Ayrıca, daha büyük işletmelere rapor verebilecek veya hizmet verebilecek küçük satıcıların güvenliğini de azaltır.
Son araştırmalarımız, CISO’ların bir krizi etkili bir şekilde yönetme yeteneklerinden endişe duyduğunu gösteriyor. CVE sistemindeki herhangi bir kararsızlık yalnızca bu endişeleri artıracak ve hazırlıklarını daha da zayıflatacaktır.
CVES, güvenlik liderlerinin eğilimleri izlemelerini, bir sonraki tehdit grubunu tahmin etmelerini ve buna göre bütçeyi tahmin etmelerini sağlar. Sadece tek güvenlik açıkları kaybolmakla kalmaz, aynı zamanda bağlamı da kaybolur. Nerede bulunduklarını, nasıl çalıştıklarını ve ekosistemdeki diğer güvenlik açıklarına nasıl uyduklarını takip etmek zor olacak. Şeffaflık kaybı hem stratejik planlamayı hem de savunma duruşunu tehlikeye atar.
Güven ve işbirliği üzerine kurulmuş güvenlik
CVE sistemi her zaman siber güvenlik alanında bir güven ve işbirliği kaynağı olmuştur. Bununla birlikte, CVE sistemindeki temel değişiklikler, ister finansman veya yeniden önceliklendirme eksikliği olsun, mavi ekiplerin paylaşılan yapıya veya içgörülere güvenme yeteneğini riske atar. Bu muhtemelen sektörlerdeki parçalanmalara ve daha geniş endüstriye yol açabilir – paylaşılan güvenlik duruşunun ve birleşik savunmanın ortak değerini etkilemektedir.
Bir güvenlik ekibi bir zayıflığı tespit edebilir, diğeri zaten yamaya başlamış olabilir ve üçüncüsü asla var olduğunun farkında bile olmayabilir. Bu karışıklık, farklı farkındalık ve yanıt aşamalarında kalan kritik ulusal altyapıdan sorumlu işletmeler ve devlet kurumları ile sınırlar boyunca uzanacaktır. CVE gibi merkezi bir sistem olmadan, tehditlere verilen yanıtlar gerici ve dağınık hale gelir ve sonuçta işletmeleri ve bireyleri riske atar.
Alternatifler arıyor, ancak değiştirme değil
CVES’in geleceği ile ilgili bu belirsizlikler, eğer söz konusu olduğunda programın yerini alabilecek uygulanabilir alternatifleri sorgulamaya yol açar. Örneğin yapay zeka güçlü bir araçtır; Tehditleri erken tespit etmeye ve kategorize etmeye yardımcı olabilir.
Bu yetenekler, resmi kanallar dursa bile yeni istismarları işaretleyerek ve önceliklendiren bir stopgap olarak kullanılabilir.
Ancak yapay zeka yerini almaz. Elbette, güvenlik açığı yönetiminin bazı bölümlerini otomatikleştirebilir, ancak CVE sistemi tarafından sağlanan insan koordinasyonu, doğrulama ve şeffaflığın yerini alamaz. Algoritmalar küresel tehdit iletişiminin ağırlığını tek başına taşıyamaz. Gerekli olan, çalışan sistemlere sağlam, uzun vadeli bir bağlılık ve değişim karşısında esnekliği sağlayacak istikrarlı bir yönetişim modelidir.
AI’nın ötesinde, bir grup uzman ve CVE Kurulu’nun eski üyeleri CVE Vakfı’nı kurdu, Gönmediği zaman programın işleyişini sürdürmek için sürdürmek için yeni bir kar amacı gütmeyen kuruluş kuruldu. Amaç, CVE programını korumak ve uzun vadede küresel güvenlik topluluğu için erişilebilir tutmaktır.
Hala ilk günlerinde olsa da, vakfın bağımsızlık ve süreklilik konusundaki vurgusu olumlu bir işarettir. Günümüz tehditlerinin uluslararası doğasını daha temsil eden yönetişim ile daha dayanıklı bir şey yaratmak için bir fırsattır.
İstikrar çağrısı
CVE programı etrafındaki bu belirsizlik bir uyandırma çağrısı olmalıdır. İster CVES, MIERT & CK veya Açık Tehdit İstihbarat Platformları olsun, tüm paylaşılan siber güvenlik altyapısı, sonradan düşünülmemelidir. Profesyonellerin siber saldırılardan nasıl hazırlandıkları, yanıt verdikleri ve iyileşme ve siber güvenlik hazırlığı konusunda sürekli bir anlayışa sahip oldukları için kritiktir.
Saldırıların daha sofistike ve sık hale geldiği bir ortamda, endüstrinin temel sistemlerinden birini tehlikeye atmak önemli bir kumardır. Şimdi ihtiyaç duyulan şey, hem finansal hem de yapısal olan uzun vadeli desteğin yeniden teyit edilmesidir.
ABD, program için bir figür olarak konumunu koruyabilir veya program gelişebilir ve paylaşılan finansman ve ortak velayet yerini alabilir. Ne olursa olsun, öncelik tehditlerin üstünde kalmalı ve profesyonelleri ve yeni nesil savunucuları sürekli olarak yükseltme olmalıdır.