MITER ostrzega przed upływem zasięgu CVE

Jeden z najważniejszych aktywów świata bezpieczeństwa cybernetycznego, Wspólne luki i ekspozycje (CVE) System obsługiwany przez amerykańskie non-profit MITER wydaje się zmierzać o kłopoty po okazji, że ścieżka kontraktowa MITER nadal prowadzi projekt w imieniu władz amerykańskich, ma się wygaśnąć w środę 16 kwietnia bez gotowej wymiany.

W liście do członków zarządu MITER rozpowszechnionych dzisiaj, którego kopia została sprawdzona przez Computer Weekly, Yosry Barsoum, wiceprezes i dyrektor w Center for Seconing Homeland (CSH) w MITER, powiedział, że rząd USA podejmował obecnie „znaczne wysiłki”, aby kontynuować długotrwała rola MITER w programie CVE.

„Jeśli miało miejsce przerwa w służbie, spodziewamy się wielu wpływów na CVE, w tym pogorszenie krajowych baz danych i doradców wrażliwości, dostawców narzędzi, operacji reagowania na incydenty i wszelkiego rodzaju krytycznej infrastruktury”, napisał Barsoum.

„MITER nadal jest zaangażowany w CVE jako globalny zasób. Dziękujemy jako członek Rady CVE za dalsze partnerstwo” – dodał.

Rzecznik MITER potwierdził legitymację oświadczenia Barsouma dla Computer Weekly. Opisali program CVE jako „podstawowy filar” sektora cybernetycznego, zakotwiczając globalną branżę o wartości prawie 40 mld USD (30 mld GBP).

25-letni system CVE jest zaprojektowany jako odniesienie i repozytorium ujawnionych w zabezpieczeniach bezpieczeństwa cybernetycznego i jest utrzymywane przez MITER od jego powstania pod koniec lat 90. XX wieku, z funduszami wynikającymi z krajowego działu bezpieczeństwa cybernetycznego Departamentu Bezpieczeństwa Wewnętrznego.

Z biegiem lat jego wpływ na świat badań bezpieczeństwa miał ogromne znaczenie, zapewniając cyberprzestępcom dane dotyczące pojawiających się zabezpieczeń i zagrożeń, z których niektóre były zaangażowane w niektóre z największych incydentów cyberprzestępczych – na przykład Wannacry, SolarWinds Sunburst, Log4J i porusza się, żeby wymienić tylko kilka.

Jego dalsze prace będą znane w większości podziękowania dla samej tomu CVE – rozpoznawalne przez ich unikalne identyfikatory obejmujące litery CVE, rok i kod numeryczny – wydany w drugi wtorek każdego miesiąca przez Microsoft w swoim Patch we wtorek aktualizacja.

Gdyby miał to zaprzestać operacji, nawet tymczasowo w oczekiwaniu na przedłużenie umowy, wpływ byłby odczuwany w całej branży technologicznej. Pokazanie wtorek, obecna liczba CVE wszystkich typów odkrywanych i ujawnianych jest Bieganie w rekordowych wysokościach i nie wykazuje żadnych oznak spowolnienia.

Zakłócenie w systemie CVE byłoby darem zarówno dla zmotywowanych finansowo cyberprzestępców, jak i aktorów państwa narodowego, którzy byliby w stanie szybko skorzystać z wszelkich przestojów, gdy będą nadal szukać, rozwijać i bronią nowe zagrożenia, podczas gdy specjaliści ds. Bezpieczeństwa pozostawaliby w ciemności.

Wśród głębokich i bolesnych cięć rządowych w Stanach Zjednoczonych potencjalne ryzyko dla pozycji bezpieczeństwa narodowego USA i jej sojuszników ze stanów takich jak Chiny i Rosja jest również niezwykle poważne – fakt nie utracony przez wielu członków społeczności bezpieczeństwa, którzy pod koniec 15 kwietnia zabrało się do mediów społecznościowych.

Pisząc o LinkedIn, jeden obserwator spekulował, że amortyzacja umowy MITER pochodziła z projektowania, i że wzięte wraz z cięciami takich jak Cyberbezpieczeństwo i Bezpieczeństwo Infrastruktury (CISA) i National Institute of Standards and Technology (NIST), Stany Zjednoczone łazywały podstawowe instytucje bezpieczeństwa na temat znacznego ciągłego krążenia cybernetycznego.