Yönetişim ve Risk Yönetimi
Son dakika geri alımına rağmen, yeni bir yaklaşım ve sahiplik gerekli ve yakında
Mathew J. Schwartz (Euroinfosec) •
18 Nisan 2025
Yazılım güvenlik açıkları hakkında dünyanın yetkili bilgi kaynağı olduğunuzda hayat size hızlı gelir.
Ayrıca bakınız: Web Semineri | Sıfırlı ayrıcalıklar açıklandı
Federal Sözleşme Firması Miter tarafından işletilen Ortak Güvenlik Açıkları ve Maruziyetler Programı, programın ABD Vatan Departmanı finansmanının süresi dolmaya hazır göründüğü bu haftanın başlarında yakın kesintilerle karşılaştı (bakınız: Siber güvenlik alarmları CVE programı finansmanının kaybına karşı ses çıkarıyor).
Uzmanlar, 1999 yılında başlatılan ve o zamandan beri general tarafından yürütülen güvenlik açığı bilgi paylaşım programının gerekli olduğu konusunda uyardı. Hata koordinasyon çabalarının uygun şekilde çalıştırılması, ulusal olay yanıtı, kritik altyapı ve her türlü güvenlik aracı CVE verilerine dayanmaktadır.
Onbirinci saatte, “DHS’nin bir parçası olan Cisa, adım attı ve önümüzdeki 11 ay boyunca finansmana izin veren bir seçenek kullandı, bu yüzden Runzero’daki güvenlik araştırmaları ve CVE program kurulu üyesi Tod Beardsley, hemen tehlikede değil” dedi.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, 1999’da piyasaya sürülmesinden bu yana CVE programını yürüten MITER’in bunu Mart 2026’nın başlarına kadar yapmaya devam edebileceğini söyledi.
Bu geçici bir çözümdür. Açıkçası, ABD hükümeti CVE programı için ödeme yapan CISA’dan kurtulmak istiyor. Başka birinin finansman ve yönetişim hükümdarlarını ele geçirmesi gerekiyor ve bunu yapma fırsatı daha az ABD merkezli bir çaba yaratmaya izin veriyor.
Sophos’un Global Field CTO programı direktörü Chester Wisniewski, “Bu gereklidir; sadece ABD tarafından finanse edilen, mitre tarafından işletilen CVE-atama sistemine dönme olasılığı düşük değil, endüstrinin çeyrek yüzyıl boyunca bildiği, devam ediyoruz,” dedi.
Bu, CVE Land’deki ilk hıçkırık değil. Özellikle yeni bulunan güvenlik açıklarının sayısı son yıllarda arttıkça, program devam etmek için mücadele etti. Atanan CVE’lerin sayısı 2023’te 28.818 CVE’den 2024’te 40.009’a yükseldiğinde, programın devam eden düşüşü daha da yoğunlaşmaya ayarlanmış görünüyordu.
Uzmanlar, müteahhitin kongre olarak kiralanma şekli nedeniyle programı desteklemek için özel olarak finansman sağlanması muhtemel bir seçenek değildir.
CVE programını kar amacı gütmeyen bir varlık olarak kendi olarak döndürmek mantıklı bir sonraki adım gibi görünüyor. Bu zaten en olası acil durum düzeltmesi gibi görünüyordu, Salı Miter’den CVE Program Kurulu üyelerine sızdırılmış bir mektuptan sonra, fonların Çarşamba günü sona ermeyeceği konusunda uyardı.
Bu boşluk içinde, çok uzun süredir üye Kent Landfield dahil bazı CVE program kurulu üyeleri, CVE Vakfı adlı yeni, özel kar amacı gütmeyen bir kuruluşun başlatıldığını duyurdu.
CISA’nın CVVE Vakfı aracılığıyla CVVE Vakfı aracılığıyla CVVE’ler için daha dağıtılmış bir finansman modelini savunuyorlar, “dedi.
Yeni vakıf, daha nötr ve sürdürülebilir bir tarzda “yalnızca yüksek kaliteli güvenlik açığı tanımlaması sağlama ve dünya çapında savunucular için CVE verilerinin bütünlüğünü ve kullanılabilirliğini sürdürme görevini sürdürmeye odaklanma” sözü verdi.
Diğer yaklaşımlar da deneniyor. AB’nin Siber Güvenlik Ajansı Enisa, kendi güvenlik açığı veritabanı EUVD’nin lansmanını duyurdu. Ayrıca duyuruldu: Global CVE tahsis sistemi veya GCVE, ancak yalnızca bir CVE programı eklentisi olarak hizmet etmek üzere tasarlanmıştır.
Birçok kuruluş, CVE numaralandırma yetkilileri veya CVES yayınlayabilecek CNA’lar da dahil olmak üzere MITRE tarafından yönetilen CVE programına zaten katkıda bulunuyor. Sophos’un Wisniewski, “Bunlar genellikle kendi ürünlerindeki güvenlik açıklarını tanımlamaları ve daha sonra her sayının atandığı için Geter’ı bilgilendirmeleri için Sophos da dahil olmak üzere yazılım satıcılarıdır.” Dedi. “Alternatif olarak, CVE’ler, genellikle ulusal düzeyde mevcut olan bilgisayar acil müdahale ekipleri – veya CNA -LR tarafından atanabilir.” Bu son çare CNA’sı anlamına gelir ve şu anda MITER’dir.
Programın zarif bir yönü, geliştirici veya satıcı CVE programının kendisinde yer almasa bile, bir güvenlik açığı için bir CVE’nin verilebilmesidir.
CVE programını yeni bir varlığa taşımak, tutarlılık da dahil olmak üzere çok sayıda yukarı taşıma taşıyacaktır. Otomasyon açısından, çok sayıda güvenlik ürünü yutur veya başka bir şekilde CVE-Yyyy-Nnnnn şeklinde gelen CVE verilerine güvenir, Y cari yılı ve N numarasını ifade eder. EUVD gibi alternatif yaklaşımlar farklı bir numaralandırma sistemi kullanır ve bu nedenle mevcut sistemlerle uyumlu olmaz.
Zaten işe yarayan ve kapsamda uluslararası olan bir yaklaşıma bağlı kalmanın birçok çıkışı vardır. Siber güvenlik araştırmacısı Daniel Cuthbert, Sosyal Platform X’e gönderilen bir yazıda, “CVE süreci olmadan, (ki bu da tartıştığım), satıcıları dürüst tutmak ve onları hesaba katmak için yardımcı olacağını iddia ediyorum, gerçek bir yolumuz yok.” Dedi.
Ayrıca, endüstri, kendi kendini organize eden veya ortak bir isimlendirmede anlaşma konusunda uçsuz bucaksız bir geçmişe sahiptir. Gelişmiş kalıcı tehdit grupları alın. Bir firmanın bir tayfun dediği şey, başka bir panda, siluet veya Boğa kodlarını kodlar. Gerçekte, bu isimler – diğerleri arasında – farklı araştırmacılar ve firmalar tarafından sadece bu durumda Çin’e bağlı benzer hackleme faaliyetleri kümelerini izlemek için atanır.
İsimlendirmeyi hızla dolaşmaya çalışan herkese iyi şanslar. Wisniewski, “Bu, özellikle geçmişte kötü amaçlı yazılım isimleri için de geçerlidir – sadece Virustotal ile ilgili bir algılama listesine bakın.” Dedi. “Güzel değil.”
Açıkçası, CV’lere ve yeni yönetim altında bir programa ihtiyacımız var. Beardsley, “CVE’ler ağ güvenliği sorunlarının tüm kapsamını kapsamakla birlikte, hepimizin sağlam bir güvenlik programının bir parçası olarak izlemek için kritik bir bileşen olduklarını kabul edebiliriz.” Dedi. “Son 25 yılda, CVE programı, sonuçta savunucularının bileşenlerini güvenli ve güvenli tutmasına yardımcı olan eleştirel, paylaşılan ve küresel bir kaynağa dönüştü ve bu çalışmanın devam etmesi önemli.”
Endüstrinin, yeni yönetim tarafından yürütülen bir programı desteklemek ve finanse etmek için toplu olarak bir araya gelmek için yaklaşık 10 ayı var.