ظهرت وكالة الاتحاد الأوروبي للأمن السيبراني (ENISA) لأول مرة قاعدة بيانات الضعف في الاتحاد الأوروبي (EUVD) لتوفير معلومات “مجمعة وموثوقة وقابلة للتنفيذ” حول نقاط الضعف التي تم الكشف عنها حديثًا في منتجات وخدمات تكنولوجيا المعلومات التي تم الكشف عنها حديثًا.
و EUVD ، التي يتم تكليفها من قبل توجيه NIS2تم تصميمه لجمع المعلومات المتاحة للجمهور من مصادر مثل فرق الاستجابة الوطنية لحوادث الأمن في الولايات المتحدة الأمريكية (CSIRTS) ، وباحثو تهديدات الصناعة ، وقواعد بيانات الضعف الأخرى ، بما في ذلك برنامج Miter’s CVE.
وقالت إينيسا إنه لتحقيق هذا الهدف ، قامت ببناء منصتها على نهج كلي كقاعدة بيانات مترابطة تعتقد أنها ستسمح بتحليل أفضل ومساعدة المجتمع على ربط الثغرات الأمنية. وقالت إن هذا سيجعله في النهاية مصدر معلومات أكثر جدارة وشفافة وأوسع.
وقالت حنة فيرككونين ، نائبة الرئيس التنفيذي للتكنولوجيا السيادة والأمن والديمقراطية: “تعد قاعدة بيانات الضعف في الاتحاد الأوروبي خطوة رئيسية نحو تعزيز الأمن والمرونة في أوروبا”.
“من خلال الجمع بين معلومات الضعف ذات الصلة بسوق الاتحاد الأوروبي ، نقوم برفع معايير الأمن السيبراني ، مما يتيح لكل من أصحاب المصلحة في القطاعين العام والخاص من حماية مساحاتنا الرقمية المشتركة بشكل أفضل مع كفاءة أكبر واستقلالية.”
وأضاف المدير التنفيذي لشركة ENISA Juhan Lepassaar: “يحقق Enisa علامة فارقة مع تنفيذ متطلبات قاعدة بيانات الضعف من توجيه NIS2. تم تجهيز الاتحاد الأوروبي الآن بأداة أساسية مصممة لتحسين إدارة الثغرات الأمنية بشكل كبير والمخاطر المرتبطة بها.
“تضمن قاعدة البيانات الشفافية لجميع مستخدمي منتجات وخدمات تكنولوجيا المعلومات والاتصالات المتأثرة وستظل مصدرًا فعالًا للمعلومات للعثور على تدابير التخفيف.”
برنامج Miter CVE
يأتي إطلاق EUVD بعد أسابيع فقط بعد أن هزت مجتمع الأمن تجربة شبه الموت برنامج CVE طويل المدى Miter، وهو مورد مدعوم من الحكومة الأمريكية والذي يتم تمويله والذي أصبح على مدار العقدين الماضيين بمثابة لاعب في عالم الأمن.
على الرغم من أن تمويل ميتري كان ، في النهاية ، استعادة في اللحظة الأخيرة من قبل السلطات الأمريكيةدفعت 24 ساعة من عدم اليقين الكثير من البحث عن النفس وبدأ العديد من المهنيين السيبر بدائل للبرنامج هذا مدعوم في النهاية من قبل حكومة واحدة.
على الرغم من أن EUVD غير مصمم لاستبدال البرنامج الأمريكي ، إلا أن Enisa قالت إنها عملت مع Miter على تطويرها ، وتستمر في العمل إلى جانب الهيئة غير الربحية لفهم تأثير أزمة التمويل على مشروع EUVD.
في الوقت الحالي ، بيانات عن نقاط الضعف والتعرضات المشتركة (CVE) ، والبيانات المقدمة من تلك التي تكشف عن نقاط الضعف ، ومصادر أخرى مثل وكالة الأمن السيبراني والبنية التحتية (CISA) نقاط الضعف المعروفة سيتم نقل الكتالوج تلقائيًا إلى EUVD بدعم من CSIRTS لأعضاء الاتحاد الأوروبي.
على سبيل المثال ، CVE-2025-32709 ، تعرضية للتصاعد امتياز في برنامج تشغيل وظيفة Windows Asillary لـ Winsock- تم الكشف عنها هذا الأسبوع على Patch Tuesday – يظهر في EUVD مع التعيين EUVD-2015-14439.
سيلفان كورتيس ، نائب رئيس الإستراتيجية في الاختراق، قال: “إن EUVD الجديد من Enisa هي مبادرة جيدة عندما تفكر في مشكلات التمويل الأخيرة حول برنامج Miter’s CVE.
“لا يزال هناك أيضًا بعض عدم اليقين حول ما إذا كانت قاعدة بيانات Miter ستستمر في الوجود بعد انتهاء العقد الجديد في غضون 10 أشهر ، وبالتالي فإن وجود خيار أوروبي يعني أن الصناعة يمكن أن تكون أقل اعتمادًا على مصدر إثراء الضعف. إنه بديل أكبر عندما تفكر في حقيقة أن NVD [the US National Vulnerability Database] عانى من تراكم في الماضي.
وقال كورتيس: “في النهاية ، نحتاج إلى مصدر لجميع نقاط الضعف الموثوقة والمفتوحة ، ونأمل أن توفر وعود EUVD الجديدة هذا”.
كريستال مورين ، خبير أمن الإنترنت في sysdigرحب أيضًا بالإطلاق كجزء من الجهد المستمر لتعزيز الأمن السيبراني العالمي وسط مستقبل غير مؤكد. قالت إنها تأمل أن تكمل EUVD برنامج CVE.
وقالت: “إن وجود كلاهما في اللعب يعني المزيد من المنظمات التي تتعامل مع طلبات CVE ، وفي نهاية المطاف ، الكشف العام بشكل أسرع”.
“بالنسبة لفرق الأمن ، فإن EUVD هو ببساطة مصدر موثوق به لذكاء الضعف. طالما تم تبسيط التقديمات الضعيفة – يتم تقديمها فقط إلى برنامج واحد – نتجنب الازدواجية والارتباك ، واكتساب السرعة والمرونة.”
