В некоммерческой организации MITRE объявили о приостановке финансирования со стороны правительства США (Министерства внутренней безопасности США) программ по назначению уязвимостям идентификаторов CVE (Common Vulnerabilities and Exposures) и списка видов уязвимостей CWE (Common Weakness Enumeration), что может негативно отразиться на всей глобальной индустрии кибербезопасности.
Также началось общее сокращение финансирования MITRE, которое уже привело к увольнению более 400 сотрудников в этом месяце. Предполагается, что если не будут найдены альтернативные пути поддержания программы, то совсем скоро может быть остановлено обновление и присвоение новых CVE в MITRE.
Идентификаторы CVE от MITRE имеют критическое значение для инфраструктуры обеспечения безопасности, так как позволяют отслеживать исправление каждой конкретной уязвимости и гарантировать, что разные продукты и сервисы ссылаются на одну и ту же уязвимость. Основные ИБ‑системы отслеживания уязвимостей и координации их устранения так или иначе завязаны на CVE. Вероятно, компаниям по всему миру придётся найти способ сохранить проект CVE, предоставив независимое совместное финансирование или создав отдельный консорциум.
Назначение CVE уже частично децентрализовано — многие проекты и компании получили статус CNA (CVE Numbering Authority), предоставляющий право самостоятельно назначать CVE‑идентификаторы в своей области ответственности, используя для этого выдаваемые MITRE отдельные диапазоны CVE‑номеров. При этом основная работа по выдаче отдельных CVE‑номеров по запросу до сих пор проводилась силами MITRE.
По текущей ситуации в MITRE прогнозируют ухудшение работы национальных баз данных и рекомендаций по уязвимостям и потенциальные проблемы в реагировании со стороны поставщиков. Система MITRE долгое время выступала универсальным стандартом для идентификации уязвимостей и фокусом внимания инфосек‑сообщества. Она обеспечивала чёткую каталогизацию публично раскрытых уязвимостей, являясь важной частью процесса раскрытия и документирования уязвимостей, а также обмена точной и последовательной информацией относительно угроз и рисков ИБ.
Программа CVE реализовывалась MITRE совместно с федеральными научно‑исследовательскими центрами и финансировалась по нескольким каналам, включая правительство США, отраслевые партнёрства и международные организации. В основном объёме финансовая поддержка MITRE приходила именно со стороны Национального отдела кибербезопасности Министерства внутренней безопасности США (DHS).
В открытом письме к членам совета CVE вице‑президент MITRE Йосри Барсум заявил, что прекращение контракта затрагивает не только CVE, но и связанные с ним программы, в том числе CWE, предупреждая об угрозе фактического паралича в национальных базах уязвимостей, у поставщиков защитного ПО и в службах реагирования на инциденты.
Многие эксперты по ИБ выразили обеспокоенность, опасаясь, что ИБ‑сообщество лишится стандартизированного метода отслеживания новых проблем безопасности, если доступ к API CVE нумерационных органов будет прекращён. Как отметил Брайан Кребс у себя в блоге после того, как ему удалось связаться с MITRE, действительно база данных CVE, скорее всего, перестанет работать совсем скоро. При этом новые опасения по поводу финансирования программы CVE возникли на фоне новостей о том, что Национальный институт стандартов и технологий (NIST) не может раскидать скопившийся большой массив нерассмотренных CVE для верификации и публикации в базе NVD.
Источник: habr.com
