في أعقاب الإنهاء المفاجئ لعقد ميتري لتشغيل برنامج CVE، أطلقت مجموعة من خبراء الضعف وأعضاء مجلس CVE الحالي في Miter مجموعة جديدة غير ربحية بقصد حماية مستقبل البرنامج.
ال مؤسسة CVE يرغب المؤسسون في ضمان الاستمرارية والبقاء والاستقرار لبرنامج CVE البالغ من العمر 25 عامًا ، والذي تم تشغيله حتى اليوم (16 أبريل) كمبادرة تمولها الحكومة الأمريكية ، مع الإشراف والإدارة المقدمة من MITER بموجب العقد.
حتى حتى الحساب دون تأثير فقدان برنامج Miter لعقد برنامج CVE-وهو واحد من عدد من العقود الحكومية التي تسيطر عليها Mitre في الأسابيع الأخيرة-وقد أدى بالفعل إلى ذلك تسريح العمال في مقاول منطقة العاصمة -يقول أعضاء مجلس إدارة CVE إنهم كان لديهم بالفعل مخاوف طويلة الأمد بشأن استدامة وحياد مثل هذا المورد الذي يعتمد على الصعيد العالمي الذي يرتبط بحكومة واحدة.
ازدادت مخاوفهم فجأة بعد أن تحذر رسالة من Miter’s Yosry Barsoum من أن برنامج CVE كان تحت التهديد الذي تم توزيعه هذا الأسبوع. وقال كينت لاندفيلد ، ضابط المؤسسة: “CVE ، كحجر ركابية للنظام الإيكولوجي للأمن السيبراني العالمي ، مهم للغاية بحيث لا يمكن أن يكون ضعيفًا”.
“يعتمد أخصائيو الأمن السيبراني في جميع أنحاء العالم على معرفات CVE والبيانات كجزء من عملهم اليومي – من الأدوات الأمنية والاستشارات إلى ذكاء التهديد والاستجابة. بدون CVE ، يكون المدافعون في وضع غير مؤات على التهديدات الإلكترونية العالمية.”
قال المؤسسون إنه بينما كانوا يأملون اليوم لن يأتوا أبدًا ، فقد أمضوا العام الماضي في العمل بجد في الخلفية لإنشاء استراتيجية لنقل نظام CVE إلى مؤسسة غير ربحية مخصصة ومستقلة.
على عكس Miter-في الأصل من أبحاث الكمبيوتر في معهد ماساتشوستس للتكنولوجيا في بوسطن ، تدير الآن جهودًا متعددة للبحث والتطوير-سيتم تخصيص مؤسسة CVE فقط لتقديم التعرف على الضعف عالي الجودة ، والحفاظ على سلامة وتوافر قاعدة بيانات برنامج CVE الحالية نيابة عن محترفي الأمن في جميع أنحاء العالم.
وتقول المؤسسة إن إطلاقها الرسمي يمثل “خطوة كبيرة نحو القضاء على نقطة فشل واحدة في النظم الإيكولوجية لإدارة الضعف” وحماية سمعة البرنامج كمورد موثوق به.
وقال المؤسسون: “بالنسبة لمجتمع الأمن السيبراني الدولي ، تمثل هذه الخطوة فرصة لإقامة الحوكمة التي تعكس الطبيعة العالمية لمشهد التهديد اليوم”.
المجتمع في حالة صدمة
على الرغم من أن برنامج CVE في وقت كتابة هذا التقرير لا يزال يعمل ، مع ارتكاب جديد تم إجراؤه على github في الساعات الماضية ، كان رد الفعل على إلغاء العقد سريعًا ومهذاً.
وقال تيم غريفيسون ، منظمات المجتمع المدني ونائب الرئيس التنفيذي في برامج الأمن ، “مع 25 عامًا من التمويل العام المتسق ، يتم تضمين إطار CVE الأشياء، أخصائي اكتشاف سطح الهجوم. “بدونها ، نخاطر بكسر اللغة المشتركة التي تحافظ على محاذاة فرق الأمن لتحديد معالجة نقاط الضعف بشكل فعال.
وأضاف “التأخير في مشاركة بيانات الضعف من شأنه أن يزيد من أوقات الاستجابة ويمنح الجهات الفاعلة التهديد اليد العليا”. “مع وجود لوائح مثل SEC و NIS2 و DORA تتطلب رؤية المخاطر في الوقت الفعلي ، وعدم فهم التعرض للمخاطر وأي استجابة متأخرة يمكن أن يعيق بشكل خطير القدرة على الرد بفعالية.”
وقال جيفسون إنه للحفاظ على المستويات الحالية من المرونة في مواجهة الإغلاق ، من المهم لقادة الأمن التأكد من أن المنظمات لديها فهم واضح لسطح الهجوم ومورديها.
إضافة إلى ذلك ، سيصبح التعاون ومشاركة المعلومات في مجتمع الأمن أكثر أهمية مما هو عليه بالفعل.
كريس بيرتون ، رئيس الخدمات المهنية في مزود اختبار الاختراق والأمن مقره يوركشاير أهم الناسوقال إنه يأمل أن يسود رؤوس البرودة.
وقال: “من المفهوم تمامًا أن هناك مخاوف بشأن سحب الحكومة لبرنامج Miter CVE ؛ إنه تطور مقلق لصناعة الأمن”.
وأضاف بيرتون: “إذا كانت القضية مالية بحتة ، فإن التمويل الجماعي يمكن أن يوفر مسارًا قابلاً للتطبيق إلى الأمام ، ويحشد الدعم العام لمشروع يعتقد الكثيرون به”. “إذا كانت تعمل ، فقد تكون هناك فرصة لمجلس مجتمع مخصص للدخول والقيادة.
“في كلتا الحالتين ، ليست هذه هي النهاية ، إنها فرصة لإعادة التفكير وإعادة التصور. دعونا لا نذع بعد ؛ لا تزال هناك خيارات على الطاولة ، كمجتمع عالمي. أعتقد أننا يجب أن نرى كيف تتكشف هذا.”
الخطوات التالية لإيجابيات الأمن
على مستوى أكثر عمليًا ، شارك جريفسون بعض الخطوات الإضافية لفرق الأمان لاتخاذها الآن:
- خريطة تبعيات الأدوات الداخلية على خلاصات CVE وواجهة برمجة التطبيقات لمعرفة ما هي الفواصل التي يجب أن تصبح قاعدة البيانات مظلمة ؛
- تحديد المصادر البديلة للحفاظ على ذكاء الضعف ، مع التركيز على السياق ، وتأثير الأعمال والقرب لضمان التغطية الشاملة للتهديدات ، سواء كانت حالية أو ناشئة أو تاريخية ؛
- تسريع مشاركة الذكاء عبر الصناعة للاستفادة بشكل استباقي من التكتيكات والأدوات وبيانات ممثل التهديد.
