Siber güvenlik dünyasının en önemli varlıklarından biri olan ABD tabanlı kar amacı gütmeyen general tarafından işletilen ortak güvenlik açıkları ve maruziyetler (CVE) sistemi, MITER’ın ABD yetkilileri adına projeyi çalıştırmaya devam etmesi için sözleşme yolunun, 16 Nisan Çarşamba günü yedeksiz bir şekilde devam edeceği ortaya çıktıktan sonra sorun yaşıyor gibi görünüyor.
Bir kopyası Computer Weekly tarafından gözden geçirilen MITER yönetim kurulu üyelerine yazılan bir mektupta, ABD hükümetinin, MITER’in CVE programındaki uzun süredir devam eden rolüne devam etmek için “önemli çabalar” yaptığını söyledi.
Barsoum, “Hizmette bir kırılma meydana gelecekse, ulusal güvenlik açığı veritabanlarının ve danışmanların, araç satıcılarının, olay müdahale işlemlerinin ve her türlü kritik altyapının bozulması da dahil olmak üzere CVE için birden fazla etki bekliyoruz” diye yazdı.
“Miter, küresel bir kaynak olarak CVE’ye kararlı olmaya devam ediyor. Sürekli ortaklığınız için CVE Kurulu üyesi olarak teşekkür ediyoruz” diye ekledi.
MITER sözcüsü, Barsoum’un Bilgisayar Haftalık’ına yaptığı açıklamanın meşruiyetini doğruladı. CVE programını siber sektörün “temel sütunu” olarak nitelendirerek 40 milyar dolara (30 milyar £) yakın bir küresel endüstriyi demirlediler.
25 yıllık CVE sistemi, açıklanan siber güvenlik açıkları için bir referans ve depo olarak hizmet etmek üzere tasarlanmıştır ve 1990’ların sonunda kuruluşundan bu yana, İç Güvenlik Bakanlığı Ulusal Siber Güvenlik Bölümü’nden alınan finansmanla birlikte korunmaktadır.
Yıllar boyunca, güvenlik araştırmaları dünyası üzerindeki etkisi, siber savunuculara, bazıları şimdiye kadar görülen en büyük siber olaylardan bazılarında rol oynayan ortaya çıkan güvenlik açıkları ve tehditler hakkında veriler sağladı – WannaCry, Solarwinds Sunburst, Log4J ve ancak birkaç adına taşındı.
Devam eden çalışmaları, CVE, yıl ve Microsoft tarafından her ayın ikinci Salı günü Salı günkü güncellemesinde yayınlanan sayısal bir koddan oluşan benzersiz tanımlayıcılar tarafından tanınabilen CVE’lerin hacmi sayesinde en çok aşina olacak.
Eğer operasyonları durdurmak zorunda kalırsa, bir sözleşme yenilemesini geçici olarak bile beklemeye devam ederse, etki tüm teknoloji endüstrisinde keskin bir şekilde hissedilirdi. Patch Salı günü, keşfedilen ve açıklanan her türlü CVE sayısı rekor seviyelerde çalışıyor ve yavaşlama belirtisi göstermiyor.
CVE sistemindeki aksaklıklar, hem finansal olarak motive edilen siber suçlulara hem de ulus-devlet aktörlerine bir hediye olacaktır, bu da güvenlik profesyonelleri karanlıkta fışkırtmaya devam ederken, yeni güvenlik açıklarını aramaya, geliştirmeye ve silahlandırmaya devam ederken hızlı bir şekilde yararlanabilecek.
ABD’de yapılan derin ve acı verici hükümet kesintilerinin ortasında, ABD’nin ve Müttefiklerinin Çin ve Rusya gibi eyaletlerden ulusal güvenlik duruşları için potansiyel risk de son derece ciddidir – 15 Nisan ayının sonlarında Sözü yaymak için sosyal medyaya götüren güvenlik topluluğunun birçok üyesinde kaybolmayan bir gerçek.
LinkedIn üzerine yazma, bir gözlemci, Miter’in sözleşmesinin kullanımdan kaldırılmasının tasarım yoluyla olduğunu ve siber güvenlik ve altyapı güvenlik ajansı (CISA) ve Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) gibi kesintilerin yanında, önemli bir Cyber Crisis’in önemli bir cyber kriziyle parçalandığını tahmin etti.
Boşluğu doldurmak
Ancak geleneksel topluluk ruhuyla, birçok siber profesyonel zaten yaklaşmakta olan kapanmayı ele almak için adım atıyor. Vulncheck’teki bir güvenlik araştırmacısı olan Patrick Garrity şunları söyledi: “Miter’e CVE programına onlarca süren katkılarından dolayı teşekkür etmek istiyoruz.
“MITER’de veya CVE programında hangi hizmetlerin etkilenebileceği mevcut belirsizliğin etkilenebileceği göz önüne alındığında, Vulncheck 2025 için proaktif olarak 1.000 CVVE’yi ayırdı.”
Garrity, Vulncheck’in raporlama hizmetinin CVE numaraları atamaya devam edeceğini ekledi.
“Vulncheck, hem topluluğun hem de müşterilerimizin zamanında, doğru güvenlik açığı verileri almaya devam etmelerini sağlamak için durumu yakından izliyor” dedi.
MITER, geçmiş CVE kayıtlarının GitHub’da bulunmaya devam edeceğini de sözlerine ekledi.