Yönetişim ve Risk Yönetimi, BT Risk Yönetimi, Yama Yönetimi
Kurul üyeleri, programın geleceğini güvence altına almak için ‘CVE Foundation’ lansmanını duyurdu
Mathew J. Schwartz (Euroinfosec) •
16 Nisan 2025
Ortak güvenlik açıkları ve maruziyet programının herhangi bir kesintisi veya yönetimin kapatılmasıyla ortaya çıkan küresel siber güvenlik riski üzerinde uyarılar ortaya çıkıyor. Yeni organizasyon için ayrıntılar ve finansman belirsizliğini korumakla birlikte, bağımsız bir temel şeklinde bir düzeltme yapılabilir.
Ayrıca bakınız: İhlaller biz akıllıca olana kadar durmayacak
Finansman geçmeden sadece birkaç saat önce, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, sözleşmeyi belirtilmemiş bir süre boyunca uzattığını söyledi.
Bir sözcü bilgi güvenliği medyası grubuna verdiği demeçte, “CVE programı siber iletişim ve CISA’nın bir önceliği için paha biçilmezdir.” Dedi. “Dün gece CISA, kritik CVE hizmetlerinde bir geçiş olmayacağından emin olmak için sözleşmede opsiyon süresini gerçekleştirdi. Ortaklarımızın ve paydaşlarımızın sabrını takdir ediyoruz.”**
Hizmetlerde herhangi bir kesintiden kaçınma hareketi, CVE’yi ve ortak zayıflık sayımı yazılım ve donanım zayıflıkları listesi de dahil olmak üzere Federal Sözleşme Firması Miter’i izledi, CVE Kurulu üyelerine acil bir Salı mektubu yayınlayarak, “CVE ve CWE gibi diğer ilgili programları geliştirmek, faaliyet gösterecek ve modernize etmek için mevcut sözleşme yolunun, Hükümet tarafından canlandırılmayacağını” söyledi.
“Hizmetlerde bir kırılma gerçekleşecekse, ulusal güvenlik açığı veritabanlarının bozulması ve danışmanları, araç satıcıları, olay müdahale operasyonları ve her türlü kritik altyapı da dahil olmak üzere CVVE için birden fazla etki bekliyoruz.” Dedi.
Cumhurbaşkanı Joe Biden altında CISA başkanı olarak görev yapan Jen Easterly, “Bu teknik bir sorun gibi görünse de, iş riski, operasyonel dayanıklılık ve ulusal güvenlik için ciddi etkileri var.” Dedi.
Bilgi paylaşım çerçevesinde herhangi bir kesinti “haklı olarak siber güvenlik topluluğunda alarmlar yükseltiyor” dedi. Belirli riskler, daha yavaş olay yanıtı ve veri ihlali, fidye yazılımı saldırısı veya diğer büyük güvenlik olayı riskinin artması nedeniyle işletmeler için daha yüksek güvenlik ve uyumluluk maliyetlerini içeriyor.
Buna karşılık, Çarşamba günü aktif, uzun süredir CVE yönetim kurulu üyelerinden oluşan bir koalisyon, geçen yıl için bu en kötü senaryoya hazırlandıklarını söyleyerek yeni, kar amacı gütmeyen bir CVE Vakfı’nın başlatıldığını duyurdu.
Vakfın nasıl finanse edilebileceği belirsizliğini koruyor ve bir yapışma noktası haline gelebilir. “Önümüzdeki günlerde vakıf yapısı, geçiş planlaması ve daha geniş topluluktan katılım fırsatları hakkında daha fazla bilgi yayınlayacak.” Dedi. CISA’nın CVES’i yönetmek için MITER ile yapılan sözleşmeyi uzatması da zaman satın alırken, bir çözüm bulmak için sektöre baskı ekleyecek.
MIERSTIONSTING kesintileri, Elon Musk’un Federal Maliyet Kesme Görev Gücü, Hükümet Verimliliği Bakanlığı’nın sonucu gibi görünmektedir (bkz: Bilgi uçurma, doge doge’u veri hasatını örtbas etmekle suçluyor).
Kâr amacı gütmeyen bir MITER, onlarca yıl boyunca devlete ait, yüklenici tarafından işletilen araştırma merkezlerinde kamu-özel ortaklıklarına öncülük ediyor, çeşitli federal kurumları ve görevlerini desteklemek için araştırma ve prototip projeleri yürütüyor. Bu, 1999 yılında başlatılan CVE programını, açıkça ifşa edilen siber güvenlik güvenlik açıklarını tanımlamak, tanımlamak ve kataloglamak için – aslında bunu yapmak için ortak, uluslararası bir dil yaratmak. Sözde CVES, Ulusal Bilgisayar Acil Müdahale Ekiplerinin kuruluşlara rehberliğinin temel taşı olarak hizmet eder, kurumsal güvenlik açığı yönetimi çabalarına rehberlik eder ve önceliklendirir ve satıcıları kod güvenliğinden sorumlu tutar.
Bilgi ve etkinlik yönetim platformu Securonix’te kıdemli bir tehdit araştırmacısı Tim Peck, “CVE programı temel altyapıdır” dedi. “Sadece ‘referanslı listeye sahip olmak güzel değil, aynı zamanda özel sektör, hükümet ve açık kaynak genelinde güvenlik açığı koordinasyonu, önceliklendirme ve müdahale çabaları için birincil kaynak.”
Birden fazla savunma aracı CVE meta verilerine dayanmaktadır. Bilgiler aynı zamanda CISA’nın bilinen sömürülen güvenlik açıkları kataloğu gibi programlar için – federal ajanslar için yama öncelikleri ayarlamak için kullanılan – diğer ulusal siber güvenlik kurumlarının yerli rehberliği (bkz: bkz: bkz: Sıfır Günler En İyi Siber Güvenlik Ajanslarının En Sızdırılmış Listesi).
CVE programı mükemmel değildi. Son yıllarda, güvenlik araştırmacıları sık sık CVE’leri gönderdikleri güvenlik açıklarına atanan gecikmeler bildirdiler. Birçoğu bunu keşfedilen ve kataloglanması gereken güvenlik açıklarındaki artışa kadar takip etti. Güvenlik araştırmacısı Jerry Gamblin, yayınlanan CVES, 2023’te 28.818 CVE’den 2024’te yaklaşık% 40 artışla 40.009’a yükseldi.
CVE raporları, güvenlik firmaları, devlet kurumları ve Shadowserver Vakfı gibi kar amacı gütmeyen kuruluşlar dahil olmak üzere bir dizi üçüncü taraf kuruluş tarafından açılır; kusurları kendi veya başkalarının ürünlerinde ifşa eden satıcılar; Massachusetts merkezli güvenlik açığı istihbarat şirketi Vulncheck’e göre, bağımsız güvenlik araştırmacıları.
Birçok CVE derhal dikkat gerektirir, çünkü saldırganların zaten vahşi doğada sömürdüğü sömürüleri kataloglarlar. 2024’te Vulncheck, yayınlanmış CVES’in 768’inin, 2023’te 639 CVVE’den% 20 artışla vahşi doğada kullanıldığı bildirildiğini söyledi.
CVE Foundation’ın ne kadar çabuk kalkabileceği ve yaygın olarak almayı teşvik edebileceği henüz net değil. Kaliforniya merkezli kitle kaynaklı güvenlik firması Bugcrowd’un kurucusu Casey Ellis, “Umarım bu durum hızla çözülür.” Dedi. Diyerek şöyle devam etti: “Hizmetlerde ani bir kesinti, kısa sürede ulusal bir güvenlik sorununa girme potansiyeli var.”
Kısa vadeli bir çözüm olarak Vulncheck, “önümüzdeki günler ve haftalarda topluluk için CVE ödevleri gerçekleştirme” ve bunu kolaylaştırmak için 2025 için “proaktif olarak önceden tahsis edilmiş” ve daha fazlasını almaya çalışacak.
Yeni bir CVE ataması kazanmak isteyen herkes, Greynoise Intelligence, Horizon3.Ai ve WatchTowr dahil olmak üzere birden fazla tehdit istihbarat şirketi tarafından zaten kullanılan şirketin raporlama hizmetine erişebilir.
CVE Foundation’ın çalıştığı ve çalışmaya başladığını varsayarsak, lansman duyurusu, MITER’ın çalıştığı ortak zayıflıklar numaralandırma projesine öncülük etmeye çalışıp çalışamayacağı belirsizdir. Securonix’in Peck, CWE projesinin “yazılım zayıflığı sınıflandırması ve önceliklendirmesi için hayati öneme” ve bununla ilgili herhangi bir kesintinin “güvenli kodlama uygulamalarını ve risk değerlendirmelerini etkileyeceğini” söyledi.
*GÜNCELLEME 16 Nisan 2025 14:45 UTC: Bu hikaye, CISA’nın son dakika, geçici olarak ABD Hükümeti’nin MITER ile CVE program sözleşmesi üzerine ayrıntılarıyla güncellendi.