برنامج الثغرات الأضعف والتعرضات المشتركة لـ Miter (CVE) – الذي جاء الأسبوع الماضي على مقربة من الإغلاق تمامًا في خضم عملية هزيمة واسعة النطاق لحكومة الولايات المتحدة-حدد أخصائي إدارة التعرض للسيبر أرميس كسلطة ترقيم CVE (CNA).
هذا يعني أنه سيكون قادرًا على المراجعة والتعيين معرفات CVE إلى نقاط الضعف المكتشفة حديثًا لدعم مهمة البرنامج لتحديد وتحديد أكبر عدد ممكن من المشكلات الأمنية.
“نحن نركز على تجاوز الكشف لتوفير أمن حقيقي-قبل الهجوم ، وليس بعد ذلك فقط” ، قال Armis CTO والمؤسس المشارك ، نادر إزرايل. “من واجبنا وهدفنا للمساعدة في رفع موجة الوعي بالأمن السيبراني وعملها في جميع الصناعات. هذا هو المفتاح لمعالجة دورة حياة التهديدات الإلكترونية بالكامل بشكل فعال وإدارة التعرض للمخاطر السيبرانية للحفاظ على أمان المجتمع آمنًا.”
يعتمد ميتري حاليًا على خبرة 450 CNA في جميع أنحاء العالم – ما يقرب من 250 منهم في الولايات المتحدة ، ولكن بما في ذلك 12 في المملكة المتحدة. تتضمن القائمة الكاملة بعضًا من أكبر شركات التكنولوجيا في العالم مثل Amazon و Apple و Google و Meta و Microsoft ، بالإضافة إلى مجموعة من الموردين الآخرين والوكالات الحكومية وفرق الاستجابة لحالات الطوارئ للكمبيوتر (Certs).
جميع المنظمات المدرجة شارك على أساس طوعي ، وقد التزم كل منهم بوجود سياسة الكشف عن الضعف العام ، ومصدر عام للإفصاحات الجديدة ، وموافقة على TS & CS للبرنامج.
في المقابل ، يقول Miter ، إن المشاركين قادرون على إظهار موقف ناضج تجاه نقاط الضعف لعملائهم وإبلاغ معلومات الضعف ذات القيمة المضافة ؛ للتحكم في عملية إطلاق CVE لنقاط الضعف في نطاق مشاركتها ؛ لتعيين معرفات CVE دون الحاجة إلى مشاركة المعلومات مع CNAs الأخرى ؛ وتبسيط عملية الكشف عن الضعف.
تأتي إضافة Armis إلى هذه القائمة وسط عدم اليقين بشأن مستقبل البرنامج الأوسع نظرًا لمدى قربه من الإلغاء. في أعقاب الحادث ، جادل الكثيرون في مجتمع الأمن بأن التخلص من كيفية إدارة CVES متأخرة منذ فترة طويلة.
وقال جو سيلفا ، المدير التنفيذي لشركة “أخصائي إدارة المخاطر” ، وهو مؤشر متخلف ، وهو مؤشر مدعوم بموارد غير موثوقة “:” إن انقطاع التمويل هذا يؤكد على حقيقة حاسمة لاستراتيجية الأمان الخاصة بك: لا يمكن أن تكون إدارة الضعف المستندة إلى CVE بمثابة حجر الزاوية في الضوابط الأمنية الفعالة. مرتجع.
“يجب أن يركز مستقبل إدارة الضعف على تحديد مسارات استغلال حقيقية في وقت التشغيل ، بدلاً من مجرد فهرسة نقاط الضعف المحتملة. يجب ألا يتوقف وضع المخاطر في مؤسستك على تجديد العقد الحكومي.
“على الرغم من تقديم التمويل ، فإن هذا يزحر الثقة في نظام CVE ، وهو جهد حجمي مترقع يعتمد على التمويل الحكومي الهش. لم يكن برنامج CVE بالفعل شاملاً بما فيه الكفاية وفي الوقت المناسب ، والآن أصبح أيضًا أقل استقرارًا.”
فتح البيانات
في أثناء، أرميس تقوم اليوم أيضًا بتوسيع قدرات إدارة الضعف من خلال جعل قاعدة بيانات ذكاء الضعف الخاصة بها (VID) مجانية لجميع القوميات.
تقدم قاعدة البيانات التي يحركها المجتمع ، والتي تدعمها وحدة مختبرات ARMIS في الشركة ، وخدمات الإنذار المبكر وذكاء الأصول ، وتتغذى على تيار مستمر من الذكاء الجماعي لتعزيز قدرة مستخدميها على إعطاء الأولوية للنقاط الضعف الناشئة التي من المحتمل أن تؤثر على صناعاتها العمودية ، واتخاذ إجراءات لتوضيح حدوثها قبل مثل هذه المشكلات.
وقال إيزرايل: “مع استمرار الجهات الفاعلة في التهديد في تضخيم نطاق وتطور الهجمات الإلكترونية ، فإن نهجًا استباقيًا للحد من المخاطر أمر ضروري”.
“تعد قاعدة بيانات ذكاء الضعف Armis موردًا حاسمًا يمكن الوصول إليه من قبل مجتمع الأمن ، لمجتمع الأمن. فهي تترجم بيانات الضعف إلى تأثير في العالم الحقيقي حتى تتمكن الشركات من التكيف بسرعة واتخاذ قرارات أكثر استنارة لإدارة التهديدات السيبرانية.”
قال أرميس إنه في الوقت الحالي ، يستجيب 58 ٪ من ضحايا الهجوم السيبراني بشكل تفاعلي للتهديدات بعد أن حدث الضرر ، ويقول ما يقرب من ربع قرار لتكنولوجيا المعلومات إن الافتقار إلى تقييم الضعف المستمر هو فجوة كبيرة في عملياتهم الأمنية ، مما يجعل من الضروري بذل المزيد من الجهد لمعالجة المشكلات بشكل أسرع.
