Američka agencija za sajber bezbjednost i bezbjednost infrastrukture (CISA) najavila je novu inicijativu pod nazivom „Vulnrichment“ koja ima za cilj obogaćivanje zapisa o zajedničkim ranjivostima i izloženostima (CVE) dodatnim metapodacima kako bi pomogla organizacijama da bolje odrede prioritete i napore za oporavljanje ranjivosti.
Projekat Vulnrichment, koji se nalazi u javnom GitHub skladištu, fokusiraće se na dodavanje ključnih tačaka podataka u CVE zapise, uključujući:
- Identifikator Common Platform Enumeration (CPE).
- Zajednički rezultati sistema za bodovanje ranjivosti (CVSS).
- Identifikator Common Weakness Enumeration (CVE).
- Status eksploatacije (npr. dokaz koncepta, aktivna eksploatacija).
CISA koristi svoj model stabla odluka za kategorizaciju ranjivosti specifične za zainteresovane strane (SSVC) za procenu i kategorizaciju ranjivosti na osnovu faktora kao što su status eksploatacije, tehnički uticaj i potencijal za automatizovanu eksploataciju.
Ranjivosti visokog prioriteta će zatim biti podvrgnute daljoj analizi kako bi se utvrdilo da li CISA može sa sigurnošću da potvrdi dodatne CPE, CVSS i CVE metapodatke.
Važno je da CISA neće zamijeniti nijedan od originalnih CVE podataka koje su dostavile CVE Numbering Authorities (CNAs).
Obogaćeni podaci će biti obezbijeđeni kao dodatak korišćenjem standardnog CVE JSON formata, omogućavajući da ih sistemi za upravljanje ranjivostima lako unesu.
„Divno je vidjeti CISA-u kako se pojačava da popuni prazninu u obogaćivanju CVE-a koju je NIST NVD zanemario da riješi“, rekao je Patrik Gariti, istraživač bezbjednosti u VulnCheck-u. „Biće potrebni zajednički napori svih CVE.org CNA-ova, dobavljača softvera, vladinih agencija i privatnog sektora da bi se popunila praznina koju NVD nastavlja iza sebe.
Kris Hjuz, osnivač kompanije Akuia i bivši saradnik CISA-e, pohvalio je program Vulnrichment kao „odličan resurs koji CISA može da podijeli sa zajednicom“, napominjući da je CISA već obogatila preko 1.000 CVE zapisa dodatnim kontekstom koji će pomoći u određivanju prioriteta.
CISA kaže da će projekat Vulnrichment brzo evoluirati na osnovu povratnih informacija iz zajednice sajber bezbjednosti. U bliskoj budućnosti, agencija planira da počne da dijeli tačke odlučivanja SSVC-a zajedno sa obogaćenim CVE podacima kako bi obezbjedila veću transparentnost u svojoj metodologiji određivanja prioriteta.
Napori Vulnrichment-a usklađeni su sa širim nastojanjem CISA-e da modernizuje svoje programe za sajber bezbjednost, kao što je Nacionalni sistem zaštite sajber bezbjednosti (NCPS), kako bi se bolje podržala okruženja računarstva u oblaku. Ovo uključuje unos podataka bezbjednosne telemetrije direktno od cloud provajdera agencije.
„CISA-ina inicijativa „Vulnrichment“ je ključni korak u pravom smijeru“, rekao je Immanuel Chavoya, izvršni direktor RiskHorizon.ai. „Međutim, prava otpornost leži u preventivnom obogaćivanju svih CVE-a prije nego što dođe do eksploatacije. Čekanje da indikatori eksploatacije popune CVE i dalje dovodi do kašnjenja nizvodno.
Zajednica sajber bezbjednosti se ohrabruje da pruži povratne informacije o projektu Vulnrichment putem GitHub pitanja i zahtijeva za povlačenje. CISA se takođe može direktno kontaktirati na vulnrichment@cisa.dhs.gov.
Izvor: CyberSecurityNews