Bu ses otomatik olarak oluşturulur. Geri bildiriminiz varsa lütfen bize bildirin.
LAS VEGAS – Siber güvenlik açıklarını kataloglayan önde gelen küresel programın titrek zeminde olduğunu ve önemli reformlara ihtiyaç duyduğunu söyledi.
Ortak güvenlik açıkları ve maruziyetler (CVE) programı, 1999’daki yaratılışından bu yana yazılım kusurlarını bulma ve düzeltme sürecini sessizce desteklemiştir. Ancak programın, Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ile bir sözleşme kapsamında, Hükümet sözleşmesi ile ilgili bir sorun nedeniyle neredeyse kapanan Mither Corporation tarafından yönetilen güvenlik açıkları veritabanı. Cisa bu sözleşmeyi yeniledi Sondan sonraki son dakikada Halka açık bir patlamaAncak olay, siber güvenlik topluluğuna, böyle önemli bir kaynak için hükümet finansmanına güvenmenin doğasında var olan riskleri hatırlattı.
Microsoft’un Global Siber Güvenlik Politikası ekibi üzerine bir güvenlik politikası stratejisti Elizabeth Eigner, “Açıkçası, CVE programı fon kaybettiğinde korktuk” dedi. “Sesli finansman ve uzun vadeli finansman ve süreklilik garantisi görmek istiyorum.”
CVE programı, yazılım güvenlik açıkları hakkında dünyanın merkezi ayrıntılı bilgi deposu olarak hizmet vermektedir. Güvenlik açıklarını keşfeden kişiler, bunları olarak bilinen kuruluşlara bildirin CVE numaralandırma yetkilileri (CNAS), bunları doğrulayan, benzersiz CVE tanımlayıcıları atar ve CVE kataloğuna yayınlar. Bu güvenlik açıkları ile ilgili müteakip tüm konuşmalar-satıcı yamalarından kavram kanıtı istismarlarına, saldırıların raporlarına kadar-CVE numaralarına ve katalog kayıtlarındaki bilgilere atıfta bulunur.
Microsoft’un her ay programa 80 ila 100 güvenlik açığı rapor ettiğini belirten Eigner, veritabanı “kritik altyapı” olarak kabul edilmelidir.
Nisan sözleşmesi olayı, CVE programının ABD hükümet finansmanına olan güvenini azaltma konusunda uzun süredir devletin temel dijital altyapısının kontrolüne şüpheci olan siber güvenlik topluluğu içindeki tartışmaları yeniledi. MITER Sözleşmesi gecikmenin eşiğinde olduğunda, CVE programı üyeleri, programın velayetini generyadan almayı amaçlayan kar amacı gütmeyen bir grup oluşturdu.
CISA’nın programın sponsorluğu, “CVE Kurulu üyeleri arasında, küresel olarak bağımlı bir kaynağın tek bir hükümet sponsoruna bağlı olduğu sürdürülebilirliği ve tarafsızlığı konusunda uzun süredir devam eden kaygıları artırdı” yönetim kurulu üyeleri yazdı.
Cisa, endişe duyan ortaklarını güvence altına almak için koştu. En iyi CISA yetkilisi, ajansın “CVE programının sponsoru olmaktan gurur duyduğunu” ve rolünü “yeniden değerlendirmeye çok açık” olduğunu söyledi. Perşembe günü Black Hat ABD Siber Güvenlik Konferansı’nda, CISA yetkilileri tekrarladı programın güvenlik topluluğunun çalışmaları için gerekli olduğunu.
DEF Con panelinde GitHub danışmanlık veritabanı iyileştirme kıdemli yöneticisi Madison Oliver, “Neyse ki, her şey şu an için iyi” dedi. Ancak CVE programının savunucularının güvencesizliği konusunda yeni bir takdiri var ve “programın esnek, şeffaf ve sürdürülebilir kalmasını” sağlamaya odaklandıklarını söyledi.
Eigner, olayın ABD hükümeti ve programdaki diğer büyük katılımcılar arasında bir “güven boşluğu” yarattığını söyledi. (İşvereni Microsoft, en büyük CNA’lardan biridir.) Bu katılımcıların çoğu şimdi “birbirlerine belki biraz dikkatli bir şekilde bakıyor” dedi.
CVE’nin geleceği
CVE veritabanının devlet tarafından finanse edilen bir çaba olarak kalıp kalmadığı veya kar amacı gütmeyen bir kuruluşa taşınması, programın daha titiz yönetim protokollerine ihtiyacı olduğunu söyledi.
Eigner, “Tek bir ajans veya satıcı bağımlılığından bağımsız bağımsız yönetişime ihtiyacımız var” dedi. “Programda daha fazla tarafsızlık ve güven görmek istiyorum [so there isn’t] tek bir varlık [that] Neler olduğunu kontrol ediyor. “
Böcek-tanınma satıcısı Bugcrowd’daki Amerika için Ciso olan Trey Ford, siber güvenlik topluluğunun programın istikrarına daha fazla dikkat etmesi gerektiğini söyledi.
“CVE bir kamu yararı ve bu konuda düşünceli olmamız gerekiyor” dedi. “Bunun vekili olmalıyız.”
CVE programı yıllar içinde, özellikle 2016’dan sonra, yönetim kurulunun CNA haline gelebilecek kuruluşların menzilini genişletmeye karar verdiği zaman gelişti. O zaman 23 CNA vardı; Şimdi 463 var.
Cumartesi günkü panelde, Netgear’daki ürün güvenliği başkanı Chandan Nandakumaraiah, CNA otoritesinin çeşitlendirilmesinin ABD hükümetinin CVE programından geri çekilmesi konusunda endişelenmemenin bir nedeni olduğunu savundu.
“Hepsi kıyamet ve kasvet değil” dedi.
Nandakumaraiah, Miter’in sözleşmesinin geçmesi halinde CVE programının devam edeceğini söyledi; Veritabanının barındırılmasında bir kesinti olurdu. Nisan olayının ardından CVE kurulu, veritabanının hükümet dışı bir sistemde nasıl “başarısız olabileceği” konusunda bir yedekleme planı oluşturdu.
CVE ekosistemindeki diğer katılımcılar daha az emindi.
“Bir yük devretme planının mevcut olduğunu görmek beni çok heyecanlandırdı,” dedi Eigner, ortaya çıkan “güven boşluğunu hafifletmenin ilk adımı” olarak nitelendirdi. Ancak hala eksik olanın, programın “temel altyapının” güvenlik topluluğu büyük yazısından sorumlu olduğu duygusu olduğunu söyledi.
Cisa’nın rolü
CVE programını yeni kar amacı gütmeyen grubuna taşımak, bu hesap verebilirlik endişelerinin giderilmesine yardımcı olabilir. Ve grubun kurucuları olarak işaret ettiİnternet altyapısı tarihinde böyle bir hareket için emsal var.
“Ne olursa olsun,” dedi Eigner, “Cisa’nın hala temel bir rol oynaması gerekiyor, ancak başka oyuncuların sadece katkıda bulunan değil, bu temel altyapının bir parçası olabileceğini nasıl sağlayabiliriz?”
Eigner, programın temellerini ortaya çıkarmak için büyük bir çaba olmadan, “Balkanizasyon” a ufalanma riski olduğunu, birden fazla küçük grubun onu alıkoymaya çalıştığını savundu. “Bu boşluklar [would] Hepimizi daha az güvenli hale getirin. ” (Mayısta, Avrupa Birliği kendi güvenlik açığı veritabanını başlattı.)
Siber güvenlik topluluğu, CVE programının geleceği için planlamaya başlamalıdır, dedi Eigner, “hepimizin çok endişelendiği Rosetta Stone’un bu çöküşünden kaçınabiliriz” dedi.
Black Hat USA 2025’ten daha fazla haber oku Burada.