В последнее время в базах данных уязвимостей произошло несколько событий, которые вызвали определенные опасения относительно их дальнейшей эффективности в классификации и обогащении данных об уязвимостях.
MITRE предупреждает о сбоях в программе CVE
Во вторник MITRE заявила, что ее руководство программой CVE - каталогом всех уязвимостей кибербезопасности - может прекратиться на этой неделе, поскольку федеральное правительство решило не продлевать контракт с некоммерческой организацией.
Йосри Барсум (Yosry Barsoum), вице-президент MITRE и директор Центра обеспечения безопасности Родины, сообщил в своем заявлении Recorded Future News, что в среду, 16 апреля, истекает срок финансирования «разработки, эксплуатации и модернизации программы [CVE] и связанных с ней программ, таких как Common Weakness Enumeration (CWE) Program».
Представитель MITRE сообщил, что после истечения срока действия контракта в программу не будут добавляться новые CVE, а веб-сайт программы CVE в Интернете в конечном итоге прекратит свою работу. MITRE заявила, что исторические записи CVE будут доступны на GitHub.
Программа CVE - что расшифровывается как Common Vulnerabilities and Exposures - является основополагающим элементом системы кибербезопасности, на которую полагаются многочисленные поставщики кибербезопасности, правительства и организации критической инфраструктуры для выявления уязвимостей.
«Правительство продолжает прилагать значительные усилия для поддержки роли MITRE в этой программе, и MITRE остается приверженной CVE как глобальному ресурсу», - добавил Барсум.
Представитель MITRE сообщил, что они уже несколько недель работают с представителями правительства в Министерстве внутренней безопасности (DHS), чтобы найти способ продвижения программы CVE.
Программа CVE была запущена в 1999 году и осуществлялась MITRE при финансовой поддержке Отдела национальной кибербезопасности Агентства по кибербезопасности и инфраструктурной безопасности (CISA) Министерства внутренней безопасности.
В заявлении CISA говорится, что оно является «основным спонсором программы CVE».
«Хотя контракт CISA с MITRE Corporation прекратит свое действие после 16 апреля, мы срочно работаем над смягчением последствий и сохранением услуг CVE, на которые полагаются заинтересованные стороны во всем мире», - заявил представитель CISA.
CISA отказалась отвечать на многочисленные вопросы о причинах аннулирования контракта, о том, что произойдет, когда истечет срок действия контракта с сайтом CVE, и о том, возьмет ли на себя работу MITRE новый поставщик.
В письме членам совета программы CVE во вторник Барсум предупредил о предстоящем истечении срока действия контракта и заявил, что ожидает «многочисленных последствий для CVE, включая ухудшение состояния национальных баз данных уязвимостей и консультаций, поставщиков инструментов, операций по реагированию на инциденты и всех видов критической инфраструктуры».
Никто из членов совета программы CVE, многие из которых работают в федеральных органах власти и технологических гигантах, не ответил на просьбы о комментарии.
Источник в MITRE, говоривший на условиях анонимности, сообщил, что МНБ и CISA прекращают действие большого количества киберконтрактов. В прошлом месяце CISA объявила о прекращении финансирования MS-ISAC и Election ISAC - важнейших организаций, предоставляющих помощь в области кибербезопасности тысячам организаций критической инфраструктуры по всей территории США.
Эксперты были встревожены перспективой потенциальной потери программы CVE как ресурса. Кейси Эллис (Casey Ellis), основатель компании Bugcrowd, специализирующейся на кибербезопасности, говорит, что CVE лежит в основе огромной части усилий по управлению уязвимостями, реагированию на инциденты и защите критической инфраструктуры.
Программа MITRE CVE
Программа MITRE CVE является важной частью кибербезопасности уже более 25 лет. Она обеспечивает последовательный и стандартизированный способ выявления и отслеживания уязвимостей и уязвимых мест в программном обеспечении и системах. Она служит центральным узлом, обеспечивая ключевую базу данных, от которой зависит получение критически важной информации об уязвимостях бесчисленными организациями. Однако в связи с тем, что финансирование программы может закончиться, растут опасения относительно ее будущего и способности продолжать поддерживать сообщество кибербезопасности.
Кроме того, Национальный институт стандартов и технологий (NIST) объявил о том, что уязвимости с датой публикации до 1 января 2018 года будут отнесены к категории «Отложенные». Этот статус означает, что они не будут добавлять к ним обогащающие данные. Однако тот факт, что уязвимость старше, не обязательно означает, что она относится к категории низкого риска. Для организаций, которые полагаются на баллы CVSS от NIST и обогащенные данные от NIST для определения приоритетов исправления, это вызывает серьезную обеспокоенность.
Если возникнет пробел в сервисе CVE
Во время такого перерыва в работе сервисов CVE прекратится выдача новых идентификаторов CVE, в результате чего свежераскрытые уязвимости будут отсутствовать на CVE.org, NVD, CISA KEV и других зеркалах. Это может создать временные пробелы в покрытии для продуктов безопасности, которые зависят только от этих источников.
