Avrupa Birliği Siber Güvenlik Ajansı (ENISA), blok boyunca dijital güvenliği artırmak ve ABD merkezli siber güvenlik altyapısına olan güvenini azaltmak için tasarlanmış stratejik bir hareket olan Avrupa Güvenlik Açığı Veritabanını (EUVD) tanıttı.
Şimdi danışma için yaşayan EUVD, Ulusal Bilgisayar Güvenliği Olayı Müdahale Ekipleri (CSIRT’ler), yazılım satıcıları ve ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) bilinen güvenlik açığı katalogu gibi uluslararası yemler de dahil olmak üzere çok çeşitli kaynaklardan güvenlik açığı verilerini bir araya getiriyor. En önemlisi, platform kendi benzersiz EUVD tanımlayıcılarını atar ve ABD tarafından finanse edilen ortak güvenlik açıkları ve maruziyet (CVE) sistemine paralel bir sistem oluşturur.
Birçok siber güvenlik uzmanı için, EUVD başka bir teknik araçtan daha fazlasını temsil eder; Küresel siber güvenlik yönetişiminde bir değişime işaret ediyor.
“Yalnızca ABD tarafından finanse edilen bir MITER CVE sistemine güvenmek, ‘küresel ekosistemi’ bozdu,” söz konusu Dray Agha, Huntress Güvenlik Operasyonları Kıdemli Müdürü. “Ve adil olmak gerekirse, finansman veya yönetişim sorunları ortaya çıktıkça CVE veya diğer ABD tarafından finanse edilen programlar için hiçbir şey tekrar olmasını engellemiyor. EUVD gibi alternatifler çok ihtiyaç duyulan yedekleme ve süreklilik sunuyor ve bu sistemi jeopolitik olarak yeniden şekillendirme fırsatı sunuyor.”
Dray, AB liderliğindeki bir veritabanının Avrupa altyapısı, düzenleme ve dile özgü güvenlik açıklarına daha iyi öncelik verebileceğini ve potansiyel olarak bölgesel tehdit istihbaratını geliştirebileceğini de sözlerine ekledi. Ancak, net birlikte çalışabilirlik olmadan parçalanmış bir yaklaşımın sürtünmeye neden olabileceğini uyardı: “Bizim gibi savunucular için değer, EUVD’nin mevcut platformlarla ne kadar iyi entegre edildiği konusunda yatıyor. CVE ile güçlü birlikte çalışabilirlik olmadan, bu netlikten ziyade gürültü yaratma riskiyle karşı karşıya.”
Boris Cipot, Black Duck’ta Kıdemli Güvenlik MühendisiEUVD’nin hem fırsat hem de karmaşıklık eklediği düşüncesini yineledi. “Açık bir fayda, ABD Ulusal Güvenlik Açığı Veritabanına (NVD) güvenini tek bir gerçek kaynağı olarak azaltmaktır, ” Çin’in CNVD’si gibi çoklu bölgesel veritabanlarının ortaya çıkmasının, küresel işletmeler için zaten dil ve düzenleyici zorluklar yarattığını belirtti.
Pratik bir çözüm olarak Yazılım Kompozisyon Analizi (SCA) araçlarına dikkat çekti.“Bu araçlar, farklı bölgesel veritabanları da dahil olmak üzere çeşitli kaynaklardan gelen güvenlik açığı verilerini toplar ve müşterilere sunar. Sadece ABD NVD’sine dayanan kuruluşlar SCA araçlarının EUVD gibi yeni kaynakları nasıl içerdiğini değerlendirmelidir.”
Teknik açıdan, EUVD’nin benzersiz tanımlayıcı sistemi dikkate değer bir ilerleme, Sudesh Yallavarthi, Pentest People’da Kıdemli Incide Yanıt Analisti. “EUVD’nin yalnızca CVE IDS’ye sahip olabilecek güvenlik açıklarını izlemesine değil, aynı zamanda bir CVE verilmeden önce veya CVE sistemi bozulmaya maruz kalması durumunda tanımlayıcıları potansiyel olarak tanımlayıcılar atamasına izin verir.”
EUVD, doğrudan güvenlik açığı gönderimlerini kabul etmek için gelişirse, ikincil bir toplayıcıdan birincil güvenlik açığı veritabanına ve hatta bir CVE numaralandırma otoritesine (CNA) geçebileceğini de sözlerine ekledi. “Siyasi olarak, EUVD siber güvenlikte Avrupa stratejik özerkliğine doğru önemli bir adımı temsil ediyor,” Dedi Yalavarthi.
Gavin Knapp, Bridewell’de Siber Tehdit İstihbaratı MüdürüHareketi memnuniyetle karşıladı, Potansiyel Finansman kesintileri ile ilgili endişelerin, Miter’in CVE’si gibi projelerde çeşitlendirilmiş kaynaklara duyulan ihtiyacın altını çizdiğini belirtti. “EVD de dahil olmak üzere herhangi bir yeni veri kaynağının tanıtılması, kuruluşların süreçlerini uyarlamasını gerektirir,” dedi. “EVD’yi entegre etmek ve mevcut kaynaklara karşı etkili bir çoğaltma sağlamak için ilk çaba olacaktır, ancak artan kapsam ve esnekliğin uzun vadeli faydaları önemlidir.” Ayrıca önümüzdeki meydan okumayı vurguladı: AI gibi teknolojiler ve büyük dil modelleri yazılım geliştirmeyi hızlandırdıkça, EVD gibi veritabanları artan bir güvenlik açıkına ayak uydurmalıdır.
AB dijital egemenliği zorlamaya devam ederken, EUVD’nin lansmanı hem sembolik hem de işlevsel bir kilometre taşıdır. Bununla birlikte, siber güvenlik uzmanları, başarısının, karmaşık değil, küresel güvenlik açığı açıklama ekosistemini tamamlama yeteneğine bağlı olacağını vurgulamaktadır.
İleriye Bakış
Enisa, EUVD’nin sadece başlangıç olduğunu açıkça belirtti. Şu anda verileri toplar ve zenginleştirirken, mimarisi, küresel alaka düzeyini daha da artıracak bir CNA olma veya doğrudan gönderimleri kabul etme yeteneği de dahil olmak üzere gelecekteki geliştirmelere izin verir. Lansman, Avrupa’nın kendi siber güvenlik altyapısının sorumluluğunu üstlenmek için artan baskı altında olduğu bir zamanda geliyor. Kalıcı tehditler, jeopolitik gerilimler ve uluslararası güvenlik açığı raporlamasındaki gecikmelerle EUVD, Avrupa’nın siber savunma stratejisinin temel taşı olarak ortaya çıkabilir.
ENISA Post, AB Siber Dayanıklılığını desteklemek için Avrupa güvenlik açığı veritabanını başlattı.