На вихідних експерти з безпеки почали панікувати. MITRE оголосила, що уряд США не продовжив фінансування бази даних Common Vulnerabilities and Exposures (CVE).

Віцепрезидент MITRE Йосрі Барсум попередив, що підтримка урядового контракту, яка дозволяє MITRE “розробляти, експлуатувати та модернізувати CVE”, закінчиться 16 квітня. Це, за словами Барсума, призведе до “численних наслідків для CVE, включаючи погіршення національних баз даних вразливостей та рекомендацій, постачальників інструментів, операцій реагування на інциденти та всілякої критичної інфраструктури”.

Уся комп’ютерна безпека залежить від CVE, яка є стандартом для відстеження того, що є (і чого немає) значною дірою в безпеці. На щастя, коли часу майже не залишилося, MITRE, некомерційна організація, яка контролює базу даних CVE, оголосила, що отримає фінансування ще на 11 місяців.

Що таке CVE?

Програма CVE, яка з моменту свого заснування в 1999 році закаталогувала понад 274 000 публічно розкритих вразливостей, використовується урядами, приватною промисловістю та спільнотами відкритого коду — коротше кажучи, усіма — для відстеження та координації реагування на вразливості програмного забезпечення. Наприклад, Microsoft зі своїм “Patch Tuesday” та розробники ядра Linux використовують CVE для відстеження проблем безпеки.

Усі покладаються на CVE, тому що, хоч і далеко не ідеальні, вони є загальноприйнятим стандартом для відстеження проблем безпеки. Як пояснила у LinkedIn Джен Істерлі, колишня директорка Агентства з кібербезпеки та інфраструктурної безпеки (CISA):

Уявіть собі систему CVE як Десяткову класифікацію Дьюї для кібербезпеки. Це глобальний каталог, який допомагає кожному — командам безпеки, постачальникам програмного забезпечення, дослідникам, урядам — організовувати та обговорювати вразливості, використовуючи одну й ту саму систему посилань. Без неї:

• Кожен використовує різний каталог або не використовує жодного;
• Ніхто не знає, чи говорять вони про одну й ту саму проблему;
• Фахівці з захисту витрачають дорогоцінний час, щоб з’ясувати, що не так;
• І найгірше — зловмисники користуються плутаниною.

Крім того, як сказала в інтерв’ю Аріадна Конілл, співзасновниця та провідний інженер компанії з технологічної безпеки Edera: “База даних CVE має вирішальне значення для міжнародної безпеки. Хоча існують сторонні бази даних, світ стандартизував ідентифікатори CVE як покажчики на дані про вразливості. Втрата послуг CVE буде катастрофічною. Кожна стратегія управління вразливостями у світі сьогодні сильно залежить від системи CVE та її ідентифікаторів і структурована навколо неї”.

Заглядаючи вперед, Конілл продовжила: “Бази даних вразливостей повинні використовувати пов’язані дані, щоб посилатися на ту саму вразливість у зовнішніх базах даних, а не залежати від ідентифікаторів CVE. Збагачення даних про вразливості можна здійснювати за допомогою технологій пов’язаних даних, таких як JSON-LD, які вже використовуються SPDX 3 та OpenVEX. В результаті Національна база даних вразливостей більше не буде потрібна, і розробники не будуть залежні від подібних рішень”.

Проте, поки цього не станеться, CVE залишатиметься критично важливою для всієї технологічної безпеки.

Як CVE опинилася так близько до закриття?

Йдеться про федеральні контракти та поточну плутанину з фінансами уряду США. MITRE керує програмою CVE протягом 25 років за підтримки Міністерства внутрішньої безпеки США (DHS) та CISA. MITRE виступає як редактор CVE та головний орган нумерації CVE (CNA), контролюючи присвоєння унікальних ідентифікаторів CVE, які слугують глобальним стандартом посилань на вразливості.

MITRE також керує пов’язаними програмами, такими як Common Weakness Enumeration (CWE), яка класифікує слабкі місця програмного та апаратного забезпечення.

Ми не знаємо, чому контракт не було продовжено до останнього можливого моменту. Однак ми знаємо, що — за часів DOGE — співробітникам CISA було дано час до опівночі понеділка, щоб обрати між тим, щоб залишитися на роботі, чи звільнитися. Ті, хто залишився, зіткнулися з можливістю звільнення, оскільки агентство зіткнулося зі скороченням штату до третини.

Пізно ввечері у вівторок, 15 квітня, CISA скористалася опціонним періодом контракту, щоб забезпечити безперебійне надання критично важливих послуг CVE. Цей опціон діє лише 11 місяців, після чого його потрібно буде продовжити — інакше ми знову опинимося в тій самій ситуації.

Хоча безпосередній ризик збою було відвернено, цей епізод підкреслив давні занепокоєння щодо стійкості та нейтральності програми CVE, яка використовується в усьому світі, але залежить від фінансування уряду США. Це також не перший випадок, коли брак коштів загрожував CVE. Минулого літа недостатнє фінансування не дозволило нікому керувати нескінченним потоком нових CVE.

Члени правління CVE заснували CVE Foundation, некомерційну організацію для забезпечення майбутньої стабільності та незалежності програми. Кент Лендфілд, один із засновників CVE та співробітник CVE Foundation, зазначив, що “CVE, як наріжний камінь глобальної екосистеми кібербезпеки, занадто важлива, щоб бути вразливою. Фахівці з кібербезпеки по всьому світу покладаються на ідентифікатори та дані CVE у своїй щоденній роботі, від інструментів безпеки та рекомендацій до розвідки про загрози та реагування на них. Без CVE захисники опиняються у величезній невигіді перед глобальними кіберзагрозами”.

Мета CVE Foundation — усунути цю єдину точку відмови в екосистемі управління вразливостями та забезпечити, щоб програма CVE залишалася глобально довіреною ініціативою, керованою спільнотою.

Кожне повідомлення про безпеку в списку CVE містить унікальний ідентифікатор, який називається CVE ID, опис вразливості та інформаційні посилання. Система дозволяє організаціям, фахівцям з безпеки та постачальникам чітко та послідовно спілкуватися щодо конкретних недоліків безпеки. Це, у свою чергу, сприяє відстеженню, оцінці та усуненню проблем. Більшості CVE присвоюється оцінка за шкалою Common Vulnerability Scoring System (CVSS). Це числова оцінка від 0 до 10, де чим вищий бал, тим небезпечніша діра в безпеці. Оцінки CVSS зазвичай використовуються для визначення того, наскільки швидко потрібно виправити проблему.

Ця стаття Чому база даних CVE для відстеження вразливостей ледве не зникла — і що буде далі раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Некомерційна організація MITRE Corp випустила нову базу знань під назвою MITRE Shield, що пропонує техніки і тактики по проактивного захисту комп’ютерних мереж від кібератак.

Новий фреймворк являє собою загальнодоступну базу знань, за допомогою якої ІБ-фахівці зможуть сформувати стратегію взаємодії з атакуючими і вжити заходів із більш активного захисту від кібератак.

Матриця містить вісім розділів, присвячених різним тактикам забезпечення захисту, включаючи API-моніторинг, поведінковий аналіз, маніпуляцію електронною поштою, створення приманок (фальшивих облікових записів, мереж, облікових даних), моніторинг активності систем тощо.

MITRE Corporation – американська некомерційна організація, що базується в Бедфорді, Массачусетсі та Макліні, штат Вірджинія. Вона керує центрами, які фінансуються федеральними науково-дослідними та дослідно-конструкторськими центрами, підтримуючи урядові установи США.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як швидко знайти системні налаштування у Windows 10? – ІНСТРУКЦІЯ

Як допомогти Gmail розпізнавати спам та заблокувати небажані листи?

10 кращих додатків для обміну повідомленнями на Android

Як поділитися своїм місцезнаходженням з друзями на iOS і Android? ІНСТРУКЦІЯ

Як відформатувати текст у Google Таблицях? ІНСТРУКЦІЯ

Фішингову кампанію з використанням бренду Netflix виявили фахівці з кібербезпеки. Зловмисники розсилають користувачам листи з повідомленням про заборгованість і вимогою змінити платіжні дані для продовження підписки.

Також сервіс “Карти” від Google зараз активно удосконалюють, щоб полегшити розрізнення природних особливостей навколишнього середовища – щоб люди могли побачити з великою точністю, де розташовані гірські крижані шапки, пустелі, пляжі чи густі ліси. За даними Google, нові “Карти” будуть доступні у 220 країнах та окремих територіях, які зараз підтримуються програмою – “від найбільших мегаполісів до малих селищ”.

Зверніть увагу, щойно відкритий дослідниками P2P-ботнет уразив щонайменше 500 урядових та корпоративних серверів SSH протягом 2020 року.  Фірма з кібербезпеки Guardicore опублікувала дослідження FritzFrog, однорангового (P2P) ботнету, який було виявлено за допомогою устаткування компанії з січня цього року.

До речі, Huawei підтвердила, що Android-пристрої її виробництва як і раніше будуть отримувати оновлення функціоналу та патчі безпеки. Як повідомили представники Huawei порталу Huawei Central, компанія продовжить оновлювати свої смартфони (в тому числі Honor) з передвстановленим магазином додатків Google Play і Huawei Mobile Services.

Microsoft випустила позапланове оновлення KB4578013, що виправляє дві уразливості підвищення привілеїв в сервісі віддаленого доступу (Windows Remote Access).

Ця стаття З’явилася база знань для моделювання боротьби з кібератаками раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин