Ortak güvenlik açıkları ve maruziyetlerin (CVE) programının geleceği dengede asılıdır: onu yöneten kar amacı gütmeyen ABD organizasyonu olan Miter, onu korumalarına yardımcı olan ABD federal finansmanını kaybedebilir. Ancak diğerleri kanatlarda bekliyor ve güvenlik açığı izleme mantosunu almaya hazırlanıyor.
“16 Nisan 2025 Çarşamba günü, Miter’in CVE ve CWE gibi diğer ilgili programların süresi dolacak, mevcut sözleşme yolu, Miter VP ve Direktörü Yosry Barsoum ve Direktörü, Salı günü CVE Kurulu üyelerine gönderilen (sızdırılmış) bir e -postada paylaşılan Homeland’ı güvence altına alacak.
“Hükümet, programın desteklenmesinde Miter’in rolüne devam etmek için önemli çaba sarf etmeye devam ediyor. Eğer hizmette bir kırılma meydana gelirse, ulusal kırılganlık veritabanlarının ve danışmanlarının bozulması, takım satıcıları, olay müdahale operasyonları ve her türlü kritik altyapı da dahil olmak üzere CVVE için birden fazla etki öngörüyoruz.”
CVE programı nedir?
CVE programı, Gönderme Araştırması, Açıklama ve Yönetimin aynı referans noktasından güvenlik açığı hakkında konuşmasına izin veren benzersiz bir tanımlayıcı (CVE numarası) atanan, MITER veya diğer CVE numaralandırma yetkilileri (CNA) aracılığıyla merkezi bir yazılım güvenlik açıkları veritabanı sağlar.
Yayınlanan CVE kayıtlarının sayısı sürekli artıyor: 2024’te 40.000’den fazla güvenlik açıkları bir CVE numarası ile sabitlendi. 2023 ve 2022’de bu rakamlar sırasıyla 28.961 ve 25.059 idi. (Ayrılmış CVE IDS sayısı da her yıl artmaktadır.)
Edera’nın seçkin mühendisi Ariadne Conill, “CVE veritabanı uluslararası güvenlik için çok önemlidir. Üçüncü taraf veritabanları mevcut olsa da, dünya tanımlayıcılarında güvenlik açığı verilerine işaretçi olarak hareket etmek için standartlaştı” dedi.
“CVE hizmetlerinin kaybı felaket olacaktır. Bugün dünyanın dört bir yanındaki her güvenlik açığı yönetimi stratejisi, CVE sistemi ve tanımlayıcıları etrafında yoğun bir şekilde bağımlı ve yapılandırılmıştır.”
CVE Programı Fonlama Sorunları
Yakın zamanda 25 yıllık varlığını kutlayan CVE programı büyük ölçüde ABD İç Güvenlik Bakanlığı tarafından finanse edilmektedir. Finansman, son zamanlarda bütçe ve işgücü kesintileri ile vurulan (ve daha fazla karşı karşıya olan) siber güvenlik ve altyapı güvenlik ajansı (CISA) aracılığıyla dağıtılmaktadır.
Cardinalops CEO’su Michael Mumcuoglu, “Finansman geçerliyse, tüm güvenlik açığı koordinasyon ekosistemi bozulabilir, bu da kritik güvenlik sorunlarına öncelik vermeyi ve yamayı zorlaştırabilir” dedi.
“Satıcılar ve güvenlik ekipleri, güvenlik açıkları hakkında ortak bir dil konuşma yeteneğini kaybedebilirler ve bu, gecikmiş yanıtlara, yinelenen çabalara veya kaçırılmış tehditlere yol açabilir, hem kamu hem de özel sektörlerde küresel siber savunmayı zayıflatabilir.”
CVE programında ne olacağı konusundaki belirsizlik en istenmeyen ve iki katına çıktığı için, NIST’in analistleri güvenlik açığı şiddeti puanları, CPE girişleri ve CWE bilgileri ve referans bağlantıları olan CVE kayıtlarını zenginleştirmekten sorumlu NIST’in Ulusal Güvenlik Açığı Veritabanı (NVD), şimdi bir süre için etkilenmeyi ve geliştirmeyi çok az etkilemeye devam etmeyi planlıyor ve bu da çok az şey yapmayı planlıyor, onlarda.
Şimdi ne var?
Siber güvenlik muhabiri Brian Krebs’e göre, finansman durursa, MITER CVE veritabanı bugün çevrimdışı olabilir, ancak tarihi CVE kayıtları GitHub’da hala mevcut olacak. Ayrıca, CNA’ların CVE’leri elde etmek için kullandığı MITER API’sının devam etmesi durumunda, CVE numaralandırma yetkilileri hala CVE numaraları yayınlayabilir ve CVE kayıtları yayınlayabilir.
Aynı zamanda bir CNA olan siber güvenlik şirketi Vulncheck, “2025 için proaktif olarak 1.000 CVVE’yi ayırdı” ve “önümüzdeki günlerde ve haftalar içinde topluluğa CVE atamaları sağlamaya devam edecektir”.
Mumcuoglu, siber güvenlik liderlerine iç güvenlik açığı triyajı protokolleri kurarak ve tehdit istihbaratına girerek kendilerini CVE programının olası ölümüne hazırlamalarını tavsiye eder.
“Merkezi CVE tanımlayıcıları olmadan, ekibinizin dahili şiddet değerlendirmelerine ve önceliklendirme çerçevelerine (CVS’ler, varlık kritikliği ve iş bağlamı gibi) daha fazla güvenmesi gerekebilir. Güvenlik açığı ve pozlama yönetimi süreçlerinizin sağlam olduğundan ve yalnızca CVE verilerine bağlı olmadığından emin olun” diyor.
“Güvenilir tehdit intel satıcıları, ISAC’lar ve güvenlik toplulukları ile koordinasyona başlayın. Daha güçlü akran paylaşım ağları oluşturmak, CVE programının artık desteklemeyeceği güvenlik açığı keşfi ve ilişkilendirmedeki boşlukları doldurmaya yardımcı olabilir.”
Kurtarmaya CVE Vakfı?
CVE programının tökezlemesinin bazıları için bir sürpriz olmadığı ve potansiyel değiştirmelerin etlendiği açıktır.
“Başlangıçtan bu yana, CVE programı, sözleşme kapsamında sağlanan gözetim ve yönetim ile ABD hükümet tarafından finanse edilen bir girişim olarak faaliyet göstermiştir. Bu yapı programın büyümesini desteklerken, CVE Kurulu üyeleri arasında küresel olarak güvenilen bir kaynağın sürdürülebilirliği ve tarafsızlığı, bugün tek bir hükümet sponsoru ile ilgili olarak,” yeni bir hükümet sponsoruna bağlı olarak, yeni CVE vakfının belirtmektedir.
“Yanıt olarak, uzun süredir aktif CVE yönetim kurulu üyelerinin bir koalisyonu, CVE’yi özel, kar amacı gütmeyen bir vakıf haline getirmek için bir strateji geliştirmek için harcadılar. Yeni CVE Foundation, yalnızca yüksek kaliteli güvenlik açığı kimliği sağlama ve dünya çapında savunmacılar için CVE verilerinin bütünlüğünü ve kullanılabilirliğini sürdürme görevini sürdürmeye odaklanacak.”
Vakfın yapısı, geçiş planlaması ve daha geniş topluluktan katılım fırsatları hakkında ayrıntılar önümüzdeki günlerde yayınlanacak.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!