A globális kiberbiztonsági ökoszisztéma két alapvető pillére, a MITRE Corporation által működtetett Common Vulnerabilities and Exposures (CVE) Program és a Nemzeti Szabványügyi és Technológiai Intézet (NIST) által fenntartott National Vulnerability Database (NVD), kritikus szerepet tölt be a sebezhetőségek azonosításában és kezelésében világszerte. A CVE egyedi azonosítókat biztosít a nyilvánosan ismert sebezhetőségekhez, míg az NVD ezt az információt gazdagítja kontextuális adatokkal, például súlyossági pontszámokkal. Az elmúlt időszakban mindkét szervezet jelentős finanszírozási és működési kihívásokkal szembesült: a CVE programot a finanszírozási szerződés lejáratának veszélye fenyegeti, míg az NVD súlyos és növekvő lemaradással küzd a beérkező sebezhetőségi adatok feldolgozásában.

Ez a bejegyzés az így kialakult, USA központú problémák globális következményeit elemzi. Megállapításaink szerint ezen alapvető infrastruktúrák instabilitása súlyos és messzemenő hatással van a nemzetközi szervezetekre, kormányzatokra és a teljes kiberbiztonsági közösségre. A legfontosabb következmények közé tartozik a globális sebezhetőségkezelési folyamatok hatékonyságának csökkenése, a kockázatértékelés és a javítások prioritizálásának nehezebbé válása, a nemzetközi sebezhetőség-koordinációs erőfeszítések megzavarása, valamint a CVE és NVD adatokra támaszkodó kiberbiztonsági eszközök (pl. sebezhetőség-szkennerek, SIEM rendszerek) megbízhatóságának csökkenése. Továbbá, az amerikai irányítású alapvető kiberbiztonsági infrastruktúra megbízhatatlansága alááshatja a nemzetközi bizalmat az USA által vezetett globális kiberbiztonsági kezdeményezések és szabványok iránt, potenciálisan ösztönözve alternatív, regionális vagy nemzeti sebezhetőségi adatbázisok fejlesztését, ami az ökoszisztéma fragmentációjához vezethet.

A CVE és NVD nélkülözhetetlen szerepe

A modern digitális világban a kiberbiztonsági sebezhetőségek azonosítása, katalogizálása és kezelése alapvető fontosságú a szervezetek, kormányzatok és egyének védelme szempontjából. Ebben a komplex környezetben két amerikai szövetségileg finanszírozott program vált a globális kiberbiztonsági ökoszisztéma de facto alappillérévé: a MITRE Corporation által működtetett Common Vulnerabilities and Exposures (CVE) Program és a Nemzeti Szabványügyi és Technológiai Intézet (NIST) által fenntartott National Vulnerability Database (NVD).

A CVE program küldetése a nyilvánosan ismert kiberbiztonsági sebezhetőségek egyedi azonosítása, definiálása és katalogizálása. Minden egyes sebezhetőség egyedi CVE azonosítót kap (pl. CVE-2014-0160 a Heartbleed esetében), amely lehetővé teszi a biztonsági szakemberek, kutatók, szoftverfejlesztők és szervezetek számára világszerte, hogy egyértelműen és következetesen hivatkozzanak ugyanarra a problémára. Ez az egységes nevezéktan elengedhetetlen az információk hatékony megosztásához és a sebezhetőségi adatok korrelációjához a különböző eszközök, adatbázisok és jelentések között.

Az NVD kiegészíti a CVE által biztosított alapvető azonosítást azzal, hogy gazdagítja a CVE rekordokat kritikus kontextuális információkkal. Ez magában foglalja a sebezhetőségek súlyosságának értékelését a Common Vulnerability Scoring System (CVSS) segítségével, a kapcsolódó szoftvergyengeség-típusok (Common Weakness Enumeration - CWE) és érintett termékek (Common Platform Enumeration - CPE) azonosítását, valamint egyéb releváns metaadatokat. Az NVD célja, hogy szabványosított, géppel olvasható (SCAP formátumú) adatokat szolgáltasson, amelyek lehetővé teszik a sebezhetőségkezelés, a biztonsági mérések és a megfelelőség automatizálását. Az NVD szinkronizálva van a CVE listával, biztosítva az adatok naprakészségét. E két rendszer együttesen alkotja azt az alapot, amelyre a világ szervezeteinek sebezhetőségkezelési stratégiái és eszközei épülnek, gyakorlatilag globális szabvánnyá válva.