Последнее обновление 26 минут назад
После того, как правительство США первоначально прекратило финансирование базы данных CVE, используемой для отслеживания уязвимостей безопасности операционных систем и программного обеспечения, CISA заявила, что она продолжит финансироваться еще как минимум 11 месяцев.
Утром в среду было сообщено, что база данных Common Vulnerabilities and Exposures (CVE) была лишена финансирования. В течение нескольких часов ее финансирование было восстановлено еще на один год.
CVE — важная часть современной кибербезопасности. Это центральная база данных уязвимостей, обнаруженных в операционных системах и приложениях, которые могут быть использованы хакерами и вредоносными программами для атак на цели различными способами.
Во вторник некоммерческая оборонная корпорация MITRE сообщила, что ее финансирование для поддержания базы данных CVE истекает в среду. В то же время программа Common Weakness Enumeration (CWE) также потеряет свое финансирование.
Агентство по кибербезопасности и безопасности инфраструктуры (CISA) подтвердило агентству Reuters, что контракт заканчивается. Министерство внутренней безопасности США, материнская организация CISA, финансировало контракт.
В то время CISA добавила, что работает над смягчением своего воздействия и поддерживает службы CVE в максимально возможной степени. Она не сообщила, собирается ли она официально взять базу данных под свой контроль в тот момент, но с тех пор подтвердила, что CVE останется активной.
еще 11 месяцев
CISA сообщило BleepingComputer, что во вторник вечером агентство реализовало опционный период по контракту, который гарантирует отсутствие перерывов в предоставлении услуг CVE.
Предполагается, что этот период составит 11 месяцев, однако нет никаких гарантий, что он будет продлен в будущем. Вероятно, что CISA использует это окно времени для подготовки к тому, что последует дальше, например, к закрытию базы данных или полной миграции в другую организацию.
Большое влияние критической системы
CVE — это важнейшая часть экосистемы безопасности, и Apple часто ищет проблемы. Многие обновления безопасности для iOS и macOS ссылаются на списки в CVE, что позволяет исследователям узнать, какие проблемы были исправлены и какие уязвимости были устранены.
Как центральная база данных, которую проверяют разработчики и исследователи, она минимизирует дублирование списков и работы, поэтому исследователям легче работать вместе над проблемами. Это также стало стандартным способом для уязвимостей, которые будут указаны во всей индустрии безопасности.
Первоначальные сообщения о потере финансирования были немедленно встречены всеобщим возмущением со стороны исследователей безопасности и других представителей этой области, заявивших, что это плохо для безопасности в целом.
Бывший руководитель CISA Джин Истерли написала на LinkedIn, что потенциальное закрытие базы данных CVE имеет серьезные последствия для бизнес-рисков и национальной безопасности. Если сравнить это с десятичной системой Дьюи для кибербезопасности, то потеря будет колоссальной для исследователей.
«Подобно библиотекарям, пытающимся найти книгу в неорганизованной библиотеке, специалисты по кибербезопасности будут пытаться защитить ваши системы, не зная точно, какие именно угрозы существуют и где их искать», — пишет Истерли.
Бывший глава агентства добавил, что потеря CVE будет означать повышенный риск взломов и атак программ-вымогателей, более высокие затраты на безопасность и потерю доверия потребителей и регулирующих органов.
Брайан Мартин, историк компьютерных уязвимостей, сказал, что будет «немедленный каскадный эффект», который нанесет ущерб управлению уязвимостями во всем мире. Команды реагирования на компьютерные чрезвычайные ситуации (CERT) не будут иметь в своем распоряжении основного источника информации об уязвимостях, добавляет Мартин, в то время как компании испытают «быстрые и острые боли» в своих программах управления безопасностью.
Обновлено 16 апреля 2025 г. в 14:34 по восточному времени с объявлением о продлении финансирования.
Sourse: appleinsider.com