На вихідних експерти з безпеки почали панікувати. MITRE оголосила, що уряд США не продовжив фінансування бази даних Common Vulnerabilities and Exposures (CVE).
Віцепрезидент MITRE Йосрі Барсум попередив, що підтримка урядового контракту, яка дозволяє MITRE “розробляти, експлуатувати та модернізувати CVE”, закінчиться 16 квітня. Це, за словами Барсума, призведе до “численних наслідків для CVE, включаючи погіршення національних баз даних вразливостей та рекомендацій, постачальників інструментів, операцій реагування на інциденти та всілякої критичної інфраструктури”.
Уся комп’ютерна безпека залежить від CVE, яка є стандартом для відстеження того, що є (і чого немає) значною дірою в безпеці. На щастя, коли часу майже не залишилося, MITRE, некомерційна організація, яка контролює базу даних CVE, оголосила, що отримає фінансування ще на 11 місяців.
Що таке CVE?
Програма CVE, яка з моменту свого заснування в 1999 році закаталогувала понад 274 000 публічно розкритих вразливостей, використовується урядами, приватною промисловістю та спільнотами відкритого коду — коротше кажучи, усіма — для відстеження та координації реагування на вразливості програмного забезпечення. Наприклад, Microsoft зі своїм “Patch Tuesday” та розробники ядра Linux використовують CVE для відстеження проблем безпеки.
Усі покладаються на CVE, тому що, хоч і далеко не ідеальні, вони є загальноприйнятим стандартом для відстеження проблем безпеки. Як пояснила у LinkedIn Джен Істерлі, колишня директорка Агентства з кібербезпеки та інфраструктурної безпеки (CISA):
Уявіть собі систему CVE як Десяткову класифікацію Дьюї для кібербезпеки. Це глобальний каталог, який допомагає кожному — командам безпеки, постачальникам програмного забезпечення, дослідникам, урядам — організовувати та обговорювати вразливості, використовуючи одну й ту саму систему посилань. Без неї:
- Кожен використовує різний каталог або не використовує жодного;
- Ніхто не знає, чи говорять вони про одну й ту саму проблему;
- Фахівці з захисту витрачають дорогоцінний час, щоб з’ясувати, що не так;
- І найгірше — зловмисники користуються плутаниною.
Крім того, як сказала в інтерв’ю Аріадна Конілл, співзасновниця та провідний інженер компанії з технологічної безпеки Edera: “База даних CVE має вирішальне значення для міжнародної безпеки. Хоча існують сторонні бази даних, світ стандартизував ідентифікатори CVE як покажчики на дані про вразливості. Втрата послуг CVE буде катастрофічною. Кожна стратегія управління вразливостями у світі сьогодні сильно залежить від системи CVE та її ідентифікаторів і структурована навколо неї”.
Заглядаючи вперед, Конілл продовжила: “Бази даних вразливостей повинні використовувати пов’язані дані, щоб посилатися на ту саму вразливість у зовнішніх базах даних, а не залежати від ідентифікаторів CVE. Збагачення даних про вразливості можна здійснювати за допомогою технологій пов’язаних даних, таких як JSON-LD, які вже використовуються SPDX 3 та OpenVEX. В результаті Національна база даних вразливостей більше не буде потрібна, і розробники не будуть залежні від подібних рішень”.
Проте, поки цього не станеться, CVE залишатиметься критично важливою для всієї технологічної безпеки.
Як CVE опинилася так близько до закриття?
Йдеться про федеральні контракти та поточну плутанину з фінансами уряду США. MITRE керує програмою CVE протягом 25 років за підтримки Міністерства внутрішньої безпеки США (DHS) та CISA. MITRE виступає як редактор CVE та головний орган нумерації CVE (CNA), контролюючи присвоєння унікальних ідентифікаторів CVE, які слугують глобальним стандартом посилань на вразливості.
MITRE також керує пов’язаними програмами, такими як Common Weakness Enumeration (CWE), яка класифікує слабкі місця програмного та апаратного забезпечення.
Ми не знаємо, чому контракт не було продовжено до останнього можливого моменту. Однак ми знаємо, що — за часів DOGE — співробітникам CISA було дано час до опівночі понеділка, щоб обрати між тим, щоб залишитися на роботі, чи звільнитися. Ті, хто залишився, зіткнулися з можливістю звільнення, оскільки агентство зіткнулося зі скороченням штату до третини.
Пізно ввечері у вівторок, 15 квітня, CISA скористалася опціонним періодом контракту, щоб забезпечити безперебійне надання критично важливих послуг CVE. Цей опціон діє лише 11 місяців, після чого його потрібно буде продовжити — інакше ми знову опинимося в тій самій ситуації.
Хоча безпосередній ризик збою було відвернено, цей епізод підкреслив давні занепокоєння щодо стійкості та нейтральності програми CVE, яка використовується в усьому світі, але залежить від фінансування уряду США. Це також не перший випадок, коли брак коштів загрожував CVE. Минулого літа недостатнє фінансування не дозволило нікому керувати нескінченним потоком нових CVE.
Члени правління CVE заснували CVE Foundation, некомерційну організацію для забезпечення майбутньої стабільності та незалежності програми. Кент Лендфілд, один із засновників CVE та співробітник CVE Foundation, зазначив, що “CVE, як наріжний камінь глобальної екосистеми кібербезпеки, занадто важлива, щоб бути вразливою. Фахівці з кібербезпеки по всьому світу покладаються на ідентифікатори та дані CVE у своїй щоденній роботі, від інструментів безпеки та рекомендацій до розвідки про загрози та реагування на них. Без CVE захисники опиняються у величезній невигіді перед глобальними кіберзагрозами”.
Мета CVE Foundation — усунути цю єдину точку відмови в екосистемі управління вразливостями та забезпечити, щоб програма CVE залишалася глобально довіреною ініціативою, керованою спільнотою.
Кожне повідомлення про безпеку в списку CVE містить унікальний ідентифікатор, який називається CVE ID, опис вразливості та інформаційні посилання. Система дозволяє організаціям, фахівцям з безпеки та постачальникам чітко та послідовно спілкуватися щодо конкретних недоліків безпеки. Це, у свою чергу, сприяє відстеженню, оцінці та усуненню проблем. Більшості CVE присвоюється оцінка за шкалою Common Vulnerability Scoring System (CVSS). Це числова оцінка від 0 до 10, де чим вищий бал, тим небезпечніша діра в безпеці. Оцінки CVSS зазвичай використовуються для визначення того, наскільки швидко потрібно виправити проблему.
