Haladékot kapott a legfontosabb kiberbiztonsági adatbázis
11 hónapig még biztosan támogatja az amerikai kormány a biztonsági sebezhetőségeket nyilvántartó CVE programot, de csak az utolsó pillanatban sikerült reagálni a kiberbiztonsági szektorban kialakult aggodalomra.
A biztonsági szakértők nyomására az Egyesült Államok tisztviselői további 11 hónappal meghosszabbították a kiberbűnözők elleni küzdelemben kulcsfontosságú szerepet játszó, legfontosabb sérülékenységeket tartalmazó adatbázis számára biztosított támogatást – érkezett a bejelentés szerdán, épp azon a napon, amikor a finanszírozásról szóló, belbiztonsági minisztériummal kötött szerződés lejáratának határideje elérkezett.
A MITRE nonprofit intézet által működtetett Gyakori sebezhetőségek és kockázatok (Common Vulnerabilities and Exposures – CVE) program és a Nemzeti Szabványügyi és Technológiai Intézet (NIST) által fenntartott National Vulnerability Database (NVD) kritikus szerepet tölt be a sebezhetőségek azonosításában és kezelésében világszerte, ez a két amerikai szövetségileg finanszírozott program a globális kiberbiztonsági ökoszisztéma de facto alappillére, ezért aggódva találgatták a biztonsági szakemberek a lehetséges következményeket.
Az CVE program elsődleges célja a nyilvánosan ismert kiberbiztonsági sebezhetőségek egyedi azonosítása, definiálása és katalogizálása. Minden sebezhetőség egyedi CVE azonosítót kap, amely lehetővé teszi a biztonsági szakemberek, kutatók, szoftverfejlesztők és szervezetek számára világszerte, hogy egyértelműen és következetesen hivatkozzanak ugyanarra a problémára. Ez az egységes nevezéktan elengedhetetlen az információk hatékony megosztásához és a sebezhetőségi adatok korrelációjához a különböző eszközök, adatbázisok és jelentések között.
Az NVD ezt az információt gazdagítja kontextuális adatokkal, például súlyossági pontszámokkal. Így tudják az informatikai rendszergazdák gyorsan megjelölni és kivizsgálni a felfedezett különféle hibákat és feltöréseket - emeli ki a CyberThreat.Report.
AI az IT-ban: ennek már fele sem tréfa Június 16-án érkezik az idei első kraftie meetup!
Miután a MITRE április 15-én jelezte, hogy másnaptól lejár a szerződés, és utána nem tudja frissíteni az adatbázist, a biztonsági szakemberek sorra hívták fel a figyelmet a komoly kockázatokra, köztük Brian Krebs is. Hogy a belbiztonsági minisztérium az utolsó pillanatban reagált, és 11 hónapos további támogatással enyhíti a helyzetet, jól tükrözi, hogy mekkora zűrzavart okoz a Donald Trump elnök által vezetett amerikai kormány kiadásai és finanszírozásai körül kialakult helyzet.
Az amerikai szövetségileg finanszírozott kiberbiztonsági infrastruktúra instabilitása diskurzust indított a kiberbiztonsági közösségben arról, hogy szükséges lenne az alternatívákba való befektetés. Ez a fajta bizonytalanság súlyos hatással lehet a nemzetközi szervezetekre, kormányzatokra és a teljes kiberbiztonsági közösségre, mivel jelentősen csökkentheti a globális sebezhetőségkezelési folyamatok hatékonyságát.
Ezen felül a nemzetközi sebezhetőség-koordinációs erőfeszítéseket is megzavarná az adatbázist érintő leállás, valamint a CVE és NVD adatokra támaszkodó kiberbiztonsági eszközök (pl. sebezhetőség-szkennerek, SIEM rendszerek) megbízhatósága is csökkenne. További következményként említi a CyberThreat.Report, hogy az amerikai irányítású alapvető kiberbiztonsági infrastruktúra megbízhatatlansága alááshatja a nemzetközi bizalmat az USA által vezetett globális kiberbiztonsági kezdeményezések és szabványok iránt, potenciálisan ösztönözve alternatív, regionális vagy nemzeti sebezhetőségi adatbázisok fejlesztését, ami az ökoszisztéma fragmentációjához vezethet.