מימון CVE קיצוץ הפוך לאחר שהעלו חששות ביטחוניים

ארה"ב החליטה לחסוך כמה דולרים על ידי סיום המימון לפגיעויות וחשיפות נפוצות (CVE) - ואז הפך בפתאומיות.

הערת העורך:לאחר שפורסם סיפור זה מוקדם יותר היום, CISA חתמה על הארכת חוזה שמסייעת כיבוי של תוכנית MITER CVE.

דובר CISA נשלחCSO(פרסום אחות לWorld World) הצהרה שנכתב: "תוכנית CVE אינה יסולא בפז לקהילת הסייבר ועדיפות של CISA. אתמול בערב, CISA ביצעה את תקופת האופציה בחוזה כדי להבטיח שלא תהיה כל פגום בשירותי CVE קריטיים. אנו מעריכים את סבלנות השותפים שלנו ואת בעלי העניין שלנו." (מקורות מציינים כי הארכת החוזה תימשך 11 חודשים.)

הסיפור שלהלן משקף את מצב האירועים לפני הארכת החוזה.

במה שעדיין ניתן לראות על ידי חלק ניצחון מסוג כלשהו, ​​ומימון עבורפגיעויות וחשיפות נפוצות(CVE) מערכת, שירות האבטחה בעל שם העולמי מהימן ומשמש את אפל וחברות טק אחרות ברחבי כדור הארץ, נחתך בסיכום.

מספרי CVE הם חלק ממערכת מוכרת גלובלית המשמשת לזיהוי ועקוב אחר פגיעויות. היחלשות זה עשוי לחסוך לתקציב ממשלת ארה"ב כמה דולרים-במחיר של יצירת הרס על פני קהילה ביטחונית שכבר נמתחה על ידי מונע פוליטיתדוקרן בהתקפות סייברו

מה זה ולמה זה משנה

שירות CVE מספק דרך ממש קלה עבור אנשים וארגונים לדווח על פגיעויות אבטחה שהם מוצאים בכל מוצר. אתה יכול לדעת כמה זה חשוב, בהתחשב בכך שמספר CVE הפך די לסטנדרט השוק לזיהוי בעיות כאלה. המספרים פועלים כשפה משותפת ומבטיחים שכולם מתייחסים לאותו באג. אולם נחתך מימון פדרלי לתוכנית, מה שעלול להשאיר את משתמשי הטכנולוגיה פחות בטוחים מבעבר.

במכתב לחברי הדירקטוריון-תאגיד מיטר(קבוצה ללא מטרות רווח, במימון פדרלי, התומכת ב- CVE) הזהירה כי הפסקה בשירות עשויה לייצר השפעות רעות מרובות, "כולל הידרדרות של מסדי נתונים וייעוץ לאומי לפגיעות, ספקי כלים, פעולות תגובת אירועים וכל מיני תשתיות קריטיות."

מיטר פיטר יותר מ -400 עובדים לקראת הקיצוצים בתחילת החודש; הפחתת המימון מגיעה כאשר המכון הלאומי לתקנים וטכנולוגיה (NIST) ממשיך להיאבק להישאר על גבי המספר המואץ של חשיפות פגיעויות.

אין פעמים כמו ההווה

עם מספר מואץ של חשיפות פגיעות פעילות ונפח מתקפות הולך וגובר, כאוס בשפה המשמשת את החוקרים כדי לתאר ולפעול נגד התקפות אלה אינו יכול שלא להחלש הגנה על אבטחה מתמשכת על ידי האטת זמני התגובה כפי שדווחו פגמים חדשים.

מבקרי מערכת CVE קיימים, והאנשים המנהלים אותה מודים שהיא תוכננה לתקופה בה רמת האיום והיקף האיום היו נמוכים יותר. אולם המערכת מקובלת בינלאומית, עובדת ומספקת רמה של אבטחת תשתיות שעליה תלויים החוקרים.

קיצוץ מימון עם מעט אזהרה יגרום לכאוס בקהילה - אם כי יש לקוות שהחברות הגדולות המסתמכות על CVE לעבודה שלהןלחפור עמוק בהכנסותיהםלממן את הארגון. בכך היא, בסופו של דבר, האינטרסים שלהם - העשירים מאוד, יהיו, בסופו של דבר, הנהנים האמיתיים היחידים מכל הפחתת המס שיורדים את הצינור בתמורה לשינויים כמו אלה.

לא ברור מה תהיה התגובה של אפל, אך בהתחשב בעובדה שהיא מתייחסת למספרי CVE במשך שנים, אין ספק כי המערכת חשובה לחברה ולרשת החוקרים האבטחה העצמאית שלה. לפני שהמערכת עלתה, חוקרי אבטחה השתמשו במינוח ייחודי משלהם כדי להתייחס לסיכונים, ויוצרים בלבול רב בעת אבטחת פלטפורמות. היחלשות המערכת הגיונית כעת לאנשי מקצוע בתחום.

"CVE היא אבן יסוד של אבטחת סייבר, וכל פערים בתמיכה ב- CVE תציב את התשתית הקריטית שלנו ואת הביטחון הלאומי שלנו בסיכון בלתי מקובל", אמרה מייסדת ומנכ"לית האבטחה של לוטה, קייטי מוסוריס, "הרישוםר 'ו "כל הענפים ברחבי העולם תלויים בתוכנית CVE כדי לשמור על ראשם מעל המים בכל מה שקשור לניהול איומים, כך שעצירה פתאומית כזו תהיה כמו שלל את ענף אבטחת הסייבר של חמצן ולצפות שהיא תניב זימים ספונטניים."

עדיין לא מוותר

האנשים שמאחורי המאמץ לא מוותרים. קבוצה אחת של חברי דירקטוריון CVE מיקמה את עצמם מחדש כקבוצה ללא מטרות רווח שתקרא להקרן CVE, שימשיך במשימה. "CVE, כאבן יסוד במערכת האקולוגית של אבטחת הסייבר העולמית, חשובה מכדי להיות פגיעה עצמה", "אמר קנט לנדפילד, קצין הקרן. "אנשי מקצוע בתחום אבטחת הסייבר ברחבי העולם מסתמכים על מזהי CVE ונתונים כחלק מעבודתם היומית - מכלי אבטחה וייעוץ ועד איום אינטליגנציה ותגובה. ללא CVE, המגינים נמצאים בעמדת נחיתות מסיבית נגד איומי סייבר גלובליים."

ישויות אחרות עוברות גם כדי להפחית את הנזק הבלתי נמנע. "וולנצ'ק עוקב באופן פעיל אחר המצב של MITER, ויבטיח שלקוחותינו, השותפים שלנו, וכל קהילת אבטחת הסייבר תמשך גישה לנתוני פגיעות מדויקים ומדויקים,"אמר אנתוני בטינימייסד ומנכ"ל וולנצ'ק. "אנו מכירים בתפקיד הקריטי שתוכנית CVE ממלאת במערכת האקולוגית של אבטחת הסייבר, ואנחנו מתכוננים באופן פעיל לכל שיבושים פוטנציאליים."

נראה כיצד זה מתפתח, אך אחת הדרכים שרוב כל מי שמשתמש במכשירים דיגיטליים יכול לעזור לשמור על אבטחה היא על ידי היזהר הרבה יותר בעת לחיצה על קישורים בהודעות דוא"ל או במקום אחר. אלה הם כמובן לא וקטורי ההתקפה היחידים, אבל כשאתה לא יכול לסמוך על הטכנולוגיה כדי להציל את עצמו, אתה צריך לאסוף את הפרי הקרוב ביותר לרצפה. זה זמן טוב להיות מודע יותר לאבטחה, בכל פלטפורמה.

אתה יכול לעקוב אחריי במדיה החברתית! הצטרף אלי הלאהבלוזקי-לינקדאין, ומסטודוןו

מאמר זה פורסם במקור עם הכותרת "כיבוי מימון CVE, והעניק לקהילה האבטחתית."

הירשם לניוזלטר שלנו

מהעורכים שלנו ישר לתיבת הדואר הנכנס שלך

התחל על ידי הזנת כתובת הדוא"ל שלך למטה.