Selama akhir pekan, para ahli keamanan mulai panik. Miter mengumumkan bahwa pemerintah AS belum memperbarui dana untuk database kerentanan dan paparan umum (CVE).
MITER VP Yosry Barsoum memperingatkan bahwa dukungan kontrak pemerintah yang memungkinkan mitra “untuk mengembangkan, mengoperasikan, dan memodernisasi CVE” akan berakhir pada 16 April. Itu berarti, Barsoum melanjutkan, “berbagai dampak untuk CVE, termasuk penurunan basis data kerentanan nasional,” vendor alat, operasi respons insiden, dan semua cara kritis.
Juga: menavigasi ancaman cyber bertenaga AI: 4 tips keamanan ahli untuk bisnis
Semua keamanan komputer tergantung pada CVE, yang merupakan standar untuk melacak apa yang (dan tidak) merupakan lubang keamanan yang signifikan. Untungnya, tanpa waktu tersisa pada jam, MITER, nirlaba yang mengawasi database CVE, mengumumkan akan mendapatkan dana untuk 11 bulan lagi.
Program CVE, yang telah membuat katalog lebih dari 274.000 kelemahan keamanan yang diungkapkan secara publik sejak awal pada tahun 1999, diandalkan oleh pemerintah, industri swasta, dan komunitas open-source-singkatnya, singkatnya, setiap orang – Untuk melacak dan mengoordinasikan tanggapan terhadap lubang perangkat lunak. Misalnya, Microsoft, dengan tambalan Selasa, dan pengembang kernel Linux keduanya menggunakan CVE untuk melacak masalah keamanan.
Semua orang mengandalkan CVE karena, meskipun jauh dari sempurna, mereka adalah standar yang disepakati secara universal untuk melacak masalah keamanan. Sebagai Jen Easterly, mantan direktur Badan Keamanan Cybersecurity dan Infrastructure (CISA), dijelaskan di LinkedIn:
Pikirkan sistem CVE seperti sistem desimal Dewey untuk keamanan siber. Ini adalah katalog global yang membantu semua orang – tim keamanan, vendor perangkat lunak, peneliti, pemerintah – mengatur dan berbicara tentang kerentanan menggunakan sistem referensi yang sama. Tanpanya:
- Setiap orang menggunakan katalog yang berbeda atau tidak ada katalog sama sekali;
- Tidak ada yang tahu jika mereka berbicara tentang masalah yang sama;
- Pembela menyia -nyiakan waktu yang berharga untuk mencari tahu apa yang salah;
- Dan yang terburuk, aktor ancaman memanfaatkan kebingungan.
Selain itu, seperti yang dikatakan Ariadne Conill, salah satu pendiri dan insinyur terkemuka di perusahaan keamanan teknologi Edera, dalam sebuah wawancara. “Database CVE sangat penting untuk keamanan internasional. Meskipun ada basis data pihak ketiga, dunia telah standar pada pengidentifikasi CVE untuk bertindak sebagai petunjuk terhadap data kerentanan. Kehilangan layanan CVE akan menjadi bencana. Setiap strategi manajemen kerentanan di seluruh dunia saat ini sangat bergantung pada dan terstruktur di sekitar sistem CVE dan pengidentifikasi.” “” “” “” “” “” “”
Ke depan, Conill melanjutkan, “Database kerentanan harus merangkul data yang terkait untuk merujuk kerentanan yang sama dalam database eksternal daripada tergantung pada pengidentifikasi CVE. Pengayaan data kerentanan dapat dilakukan dengan menggunakan teknologi data yang terkait seperti json-ld, yang telah ditinjau oleh SPDX 3 dan OpenVex. Sebagai akibatnya, dutner-ld nasional.
Namun, sampai itu terjadi, CVE akan tetap penting untuk semua keamanan teknologi.
Juga: VPN gratis terbaik tahun 2025: Tes Ahli
Bagaimana CVE begitu dekat untuk ditutup? Ini tentang kontrak federal dan kebingungan saat ini atas keuangan pemerintah AS. Miter telah mengoperasikan program CVE selama 25 tahun, di bawah sponsor dari Departemen Keamanan Dalam Negeri AS (DHS) dan CISA. MITER bertindak sebagai editor CVE dan Otoritas Penomoran CVE Primer (CNA), mengawasi penugasan pengidentifikasi CVE unik yang berfungsi sebagai standar referensi global untuk kerentanan.
Miter juga mengelola program terkait seperti Pencacahan Kelemahan Umum (CWE), yang mengklasifikasikan kelemahan perangkat lunak dan perangkat keras.
Kami tidak tahu mengapa kontrak tidak diperbarui sampai momen terakhir yang mungkin. Kami tahu, bagaimanapun, bahwa – di bawah Doge – karyawan CISA diberikan sampai tengah malam Senin untuk memilih antara tetap bekerja atau mengundurkan diri. Mereka yang tetap akan menghadapi kemungkinan diberhentikan ketika agensi menghadapi pemotongan hingga sepertiga dari tenaga kerjanya ..
Selasa malam, 15 April, CISA mengeksekusi periode opsi pada kontrak untuk memastikan tidak akan ada selang dalam layanan CVE kritis. Opsi ini hanya berlangsung selama 11 bulan dan kemudian harus diperbarui – atau kita akan kembali ke kapal yang sama.
Juga: Windows Warning: Jangan hapus folder 'inetpub' yang aneh. Sudah melakukannya? Inilah perbaikan Anda
Sementara risiko gangguan langsung telah dihindari, episode ini menyoroti kekhawatiran lama tentang keberlanjutan dan netralitas program CVE, yang diandalkan di seluruh dunia namun bergantung pada pendanaan pemerintah AS. Ini juga bukan pertama kalinya kurangnya uang tunai mengancam CVE. Musim panas lalu, dana yang tidak mencukupi membuat siapa pun mengelola banjir abadi CVE baru
Anggota dewan CVE telah meluncurkan CVE Foundation, sebuah organisasi nirlaba untuk mempertahankan stabilitas dan kemandirian program di masa depan. Kent Landfield, salah satu pendiri CVE dan seorang perwira CVE Foundation, mencatat bahwa “CVE, sebagai landasan ekosistem keamanan siber global, terlalu penting untuk menjadi rentan. Profesional cybersecurity di seluruh dunia mengandalkan ancaman CVE. Tidak ada yang menganugasikan CVE terhadap CVE yang ada di CVE yang ada di CVE, yang menjadi bagian dari pekerjaan sehari -hari mereka, dari alat keamanan dan penasihat untuk intelijen.
Tujuan CVE Foundation adalah untuk menghilangkan titik kegagalan tunggal ini dalam ekosistem manajemen kerentanan dan memastikan program CVE tetap merupakan inisiatif yang dapat dipercaya secara global dan didorong oleh masyarakat.
Juga: Kepala keamanan AS telah mengundurkan diri. Apa sekarang?
Setiap peringatan keamanan dalam daftar CVE berisi pengidentifikasi unik yang disebut ID CVE, deskripsi kerentanan, dan referensi informasi. Sistem ini memungkinkan organisasi, profesional keamanan, dan vendor untuk berkomunikasi dengan jelas dan konsisten tentang kelemahan keamanan tertentu. Ini, pada gilirannya, membantu memfasilitasi pelacakan, penilaian, dan upaya remediasi. Sebagian besar CVE diberi skor Sistem Penilaian Kerentanan Umum (CVSS). Ini adalah peringkat numerik, mulai dari 0 hingga 10, di mana semakin tinggi skor, semakin berbahaya lubang keamanan. Skor CVSS biasanya digunakan untuk memutuskan seberapa cepat masalah yang perlu diperbaiki.
Tetap di depan berita keamanan dengan Teknologi hari inidikirim ke kotak masuk Anda setiap pagi.