Patrick PilotteAnfang des Monats hat die Cybersecurity and Infrastructure Security Agency (CISA) eine Reihe zentraler Prioritäten vorgestellt, nach denen das Common Vulnerabilities and Exposures (CVE)-Programm in den kommenden Jahren ausgerichtet werden wird. Die neuen Ziele stellen eine deutliche Abkehr vom bisherigen Fokus des Programms auf Wachstum hin zu einer Qualitätssteigerung der Daten, Partnerschaften, Verwaltung und Kommunikation dar.
Nachfolgend geben wir einige Hintergrundinformationen zum CVE-Programm und heben die wichtigsten Änderungen in seiner Gesamtvision hervor. Zudem bieten wir Einblicke und Kommentare von Devolutions Spezialisten für Betriebssicherheit.
Über das CVE-Programm
Das 1999 gestartete CVE-Programm, das von CISA finanziert und von der MITRE Corporation verwaltet wird, hat sich zum globalen Standard für die Identifizierung, Definition, Katalogisierung und öffentliche Bekanntgabe von Schwachstellen in der Cybersicherheit entwickelt.
Ein wichtiger Bestandteil des Programms ist ein umfassendes Netzwerk von CVE Numbering Authorities (CNAs). Diese ausgewählten Organisationen sind befugt, neu entdeckten Schwachstellen eindeutige Kennungen zuzuweisen und Informationen darüber als offiziellen CVE-Eintrag in der CVE-Liste zu veröffentlichen.
Wir sind stolz, darauf hinweisen zu können, dass im Jahr 2021 Devolutions vom CVE-Programm als CNA autorisiert worden ist und zwar für unsere Produkte Remote Desktop Manager und Devolutions Server .
Vom Wachstum zur Qualität
Das letzte Jahrzehnt ist als die „Wachstumsphase“ des CVE-Programms bezeichnet worden, in der die Initiative ihre globale Wirkung und ihren Einfluss deutlich gesteigert hat. In dieser Zeit stieg auch die Zahl der CNAs von Dutzenden auf aktuell über 460.
Nun hat CISA signalisiert, das der Schwerpunkt des CVE-Programms künftig auf Qualität liegen wird. Zu den vorgeschlagenen Verpflichtungen und Kennzeichen der ehrgeizigen neuen „Qualitätsphase“ gehören:
- Ausbau der Community-Partnerschaften: CISA wird Partnerschaften nutzen, um eine bessere Vertretung internationaler Organisationen und Regierungen, der Wissenschaft, von Anbietern von Schwachstellen-Tools, Datenkonsumenten, Sicherheitsforschern, Betriebstechnologie und Open Source-Communitys zu erreichen.
- Staatliche Förderung: CISA ist sich bewusst, dass das CVE-Programm ein wichtiges öffentliches Gut ist, das kontinuierliche Investitionen erfordert. Gleichzeitig muss die Neutralität gewahrt werden, um eine (tatsächliche oder vermeintliche) Voreingenommenheit zu vermeiden. Daher wird sich CISA auf die Bewertung potenzieller Mechanismen für eine diversifizierte Finanzierung konzentrieren, die diesen Erwartungen und Standards entspricht.
- Modernisierung: CISA hat sich zum Ziel gesetzt, die Implementierung technologischer Verbesserungen wie die Automatisierung zu beschleunigen, um CNA-Dienste zu verbessern, die API-Unterstützung auf nachgelagerte Datenkonsumenten auszuweiten und CVE.org zu verbessern.
- Transparenz und Kommunikation: CISA wird weiterhin aktiv Feedback aus der Community einholen und in das CVE-Programm aufnehmen sowie Meilensteine und Kennzahlen regelmäßig und angemessen an alle Beteiligten kommunizieren.
- Verbesserung der Datenqualität: CISA wird mit der Industrie und internationalen Regierungen zusammenarbeiten, um eine neue Standardisierung zu schaffen, die föderierte Mechanismen zur Skalierung der Anreicherung von Schwachstellendaten umfasst und das Potenzial der Authorized Data Publisher (ADP) erweitert.
- Verbesserungen bei CNA of Last Resort (LR): CISA wird Verbesserungen bei Transparenz, Sichtbarkeit, Reaktionsfähigkeit und Datenanreicherung in alle CVE-Datensätzen priorisieren. Dies geschieht in Verbindung mit der Förderung der CVE-Programmföderation in Form des Wachstums der CNA-Community.
Einblicke & Ratschläge von unserem Manager für Informationssicherheit Patrick Pilotte:
Devolutions hat eine ausgereifte Verwaltung von Sicherheit und Schwachstellen immer priorisiert, wie das Erreichen der SOC 2 Type II- und SOC 3-Zertifizierungen, der Gewinn mehrerer Global InfoSec Awards, die gewissenhafte Wahrnehmung unserer Verantwortlichkeiten als CVE-Programm-CNA und viele andere Erfolge und Meilensteine zeigen, die in unserem Trust Center dokumentiert sind.
Wir freuen uns, dass das CVE-Programm eine Verbesserung der Qualität auf mehreren Ebenen verspricht. Wenn diese Vision in den kommenden Jahren effektiv und gewissenhaft umgesetzt wird, wird sich das CVE-Programm weltweit weiter als Standard für Transparenz, Koordination und effektive Verwaltung von Schwachstellen etablieren.
Insbesondere erhoffen wir uns deutliche Verbesserungen in Geschwindigkeit und Konsistenz bei der Zuweisung und Veröffentlichung von CVE-Einträgen. Dies ist besonders wichtig, da immer mehr Unternehmen auf SaaS- und Cloud-Umgebungen setzen, in denen Schwachstellen weitreichende Auswirkungen haben können. Eine stärkere Zusammenarbeit zwischen CNAs, Anbietern und Forschern wird ebenfalls entscheidend dazu beitragen, das CVE-Programm für Unternehmen jeder Größe noch effektiver zu gestalten, einschließlich KMUs, denen es häufig an dedizierten Sicherheitsressourcen fehlt.
Wir glauben, dass diese vorgeschlagene Weiterentwicklung des CVE-Programms für die gesamte Cybersicherheits-Community ein positiver Schritt nach vorn ist. Bei Devolutions sind wir weiterhin entschlossen, unseren Anteil als CNA zu leisten und zu einem sichereren digitalen Ökosystem für alle beizutragen.