Po Nagłe zakończenie umowy MITER w celu uruchomienia programu CVEgrupa ekspertów w zakresie zagrożenia i członków istniejącej płyty CVE MITER uruchomiła nową organizację non-profit z zamiarem ochrony przyszłości programu.
. Fundacja CVE Założyciele chcą zapewnić ciągłość, rentowność i stabilność 25-letniego programu CVE, który do dziś (16 kwietnia) był obsługiwany jako inicjatywa finansowana przez rząd USA, z nadzorem i zarządzaniem MITER na podstawie umowy.
Nawet liczenie bez wpływu utraty umowy programu CVE-który jest jednym z wielu umów rządowych w ciągu ostatnich tygodni-i już to doprowadziło do tego zwolnienia u wykonawcy DC -Członkowie zarządu CVE twierdzą, że mieli już długie obawy dotyczące zrównoważonego rozwoju i neutralności tak globalnie polegających zasobów związanych z jednym rządem.
Ich obawy nagle stały się powiększone po liście od Miter’s Yosry Barsoum Ostrzeżenie, że program CVE był zagrożony w tym tygodniu. „CVE, jako kamień węgielny globalnego ekosystemu bezpieczeństwa cybernetycznego, jest zbyt ważny, aby sama być wrażliwa”, powiedział Kent Landfield, oficer fundacji.
„Specjaliści ds. Bezpieczeństwa cybernetycznego na całym świecie polegają na identyfikatorach i danych CVE w ramach codziennej pracy – od narzędzi bezpieczeństwa i porad po inteligencję i reakcję zagrożenia. Bez CVE obrońcy są w niekorzystnej sytuacji wobec globalnych zagrożeń cybernetycznych”.
Założyciele powiedzieli, że choć mieli nadzieję, że nigdy nie nadejdą, spędzili ostatni rok pracując w tle, aby stworzyć strategię przekształcenia systemu CVE w dedykowaną, niezależną organizację non-profit.
W przeciwieństwie do MITER-pierwotnie komputerowego spin-out-out-out w MIT w Bostonie, który obecnie obsługuje wiele wysiłków w zakresie badań i rozwoju-Fundacja CVE będzie poświęcona wyłącznie dostarczaniu identyfikacji wysokiej jakości podatności oraz utrzymaniu integralności i dostępności istniejącej bazy danych programu CVE w imieniu bezpieczeństwa na całym świecie.
Fundacja twierdzi, że jej oficjalne uruchomienie oznacza „główny krok w kierunku wyeliminowania jednego punktu niepowodzenia w ekosystemach zarządzania podatnością” i ochroną reputacji programu jako zaufanego zasobu opartego na społeczności.
„Dla międzynarodowej społeczności bezpieczeństwa cybernetycznego ten ruch stanowi okazję do ustalenia zarządzania, które odzwierciedla globalny charakter dzisiejszego krajobrazu zagrożenia”, powiedzieli założyciele.
Społeczność w szoku
Chociaż w momencie pisania programu CVE pozostaje i uruchomi się, z Nowe zobowiązania złożone do github W ciągu ostatnich godzin reakcja na anulowanie umowy była szybka i zjadająca.
„Dzięki 25-letnim spójnym finansowaniu publicznym ramy CVE są wbudowane w programy bezpieczeństwa, kanały dostawców i przepływy oceny ryzyka”, powiedział Tim Grieveson, CSO i wiceprezes wykonawczy w RzeczySpecjalista ds. Odkrywania powierzchni ataku. „Bez niego ryzykujemy złamanie wspólnego języka, który utrzymuje zespoły bezpieczeństwa w celu skutecznego identyfikacji i rozwiązywania problemów.
„Opóźnienia w udostępnianiu danych podatności na podatność zwiększyłyby czas reakcji i dałyby podmioty zagrożeniowe” – dodał. „W przypadku przepisów takich jak SEC, NIS2 i Dora wymagające widoczności ryzyka w czasie rzeczywistym, brak zrozumienia narażenia na ryzyko i wszelkie opóźnioną reakcję może poważnie utrudnić zdolność skutecznego reagowania”.
Aby utrzymać istniejący poziom odporności w obliczu zamknięcia, ważne jest, aby przywódcy bezpieczeństwa zapewnili organizacje jasne zrozumienie ich powierzchni ataku i ich dostawców, powiedział Grieveson.
Ponadto współpraca i dzielenie się informacjami w społeczności bezpieczeństwa staną się jeszcze bardziej istotne niż już jest.
Chris Burton, szef profesjonalnych usług w Yorkshire Proetation Testing and Security Services Services Najzdrowili ludziepowiedział, że miał nadzieję, że chłodniejsze głowy zwycięży.
„Jest to całkowicie zrozumiałe, że istnieją obawy dotyczące wyciągania przez rząd finansowania programu MITER CVE; to niepokojący rozwój przemysłu bezpieczeństwa” – powiedział.
„Jeśli problem jest czysto finansowy, finansowanie społecznościowe może zaoferować realną ścieżkę naprzód, zbierając publiczne wsparcie dla projektu, w które wielu wierzy”, dodał Burton. „Jeśli działa, może istnieć możliwość, że dedykowana rada społeczności mogła wejść i poprowadzić.
„Tak czy inaczej, to nie jest koniec, jest to szansa na przemyślenie i ponowne wyrażenie. Nie panikujmy jeszcze; wciąż są opcje na stole, jako społeczność globalna. Myślę, że powinniśmy zobaczyć, jak to się rozwija”.
Kolejne kroki dla profesjonalistów bezpieczeństwa
Na bardziej praktycznym poziomie Grieveson podzielił się dodatkowymi krokami dla zespołów bezpieczeństwa, które mogą teraz podjąć:
- Mapuj wewnętrzne zależności od narzędzi od kanałów CVE i interfejsów API, aby wiedzieć, jakie pęknięcia powinny być ciemne;
- Zidentyfikuj alternatywne źródła utrzymania inteligencji wrażliwości, koncentrujące się na kontekście, wpływu biznesu i bliskości, aby zapewnić kompleksowe pokrycie zagrożeń, niezależnie od tego, czy są one obecne, wschodzące czy historyczne;
- Przyspiesz podział wywiadu między branżem, aby proaktywnie wykorzystać taktykę, narzędzia i dane aktorów zagrożenia.