Una línea de vida crítica de ciberseguridad está en riesgo ya que el programa CVE de Miter se enfrenta a un futuro incierto … Más
El 16 de abril, una pieza fundamental de la infraestructura de ciberseguridad del mundo puede detenerse silenciosamente.
La administración de Miter de la Programa de vulnerabilidades y exposiciones comunes—Unconocole de la divulgación de vulnerabilidad coordinada durante más de dos décadas, se enfrenta a un futuro incierto a medida que expira su contrato de Departamento de Seguridad Nacional de los Estados Unidos. Sin una renovación o reemplazo confirmado, la industria corre el riesgo de ingresar a un período de opacidad peligrosa en el seguimiento de vulnerabilidades.
Para la comunidad de seguridad cibernética, este no es un lapso burocrático menor. Es un fuego de cinco alarmas.
¿Qué significan CVE y CWE para la ciberseguridad?
Para aquellos fuera de las trincheras de seguridad, es fácil pasar por alto cuán esenciales se han vuelto los programas CVE y CWE, o debilidad común. Los CVE asignan identificadores estandarizados a las vulnerabilidades de software, lo que facilita que los investigadores de seguridad, los proveedores y los equipos de TI comuniquen y prioricen las soluciones. El programa CWE, un esfuerzo relacionado, clasifica los errores de codificación comunes que introducen esas vulnerabilidades en primer lugar.
Juntos, forman el tejido conectivo para un ecosistema global de herramientas y coordinación de seguridad. Desde escáneres de vulnerabilidad hasta sistemas de gestión de parches y alimentos de amenazas, miles de herramientas y flujos de trabajo dependen de datos CVE actualizados. Los proveedores usan CVE para emitir avisos y coordinar divulgaciones. Los equipos de seguridad los usan para rastrear los riesgos y impulsar la remediación. Incluso las agencias gubernamentales como CISA y el Departamento de Defensa confían en CVE como una parte central de su modelado de amenazas y planificación defensiva.
Es por eso que el cierre inminente es tan alarmante.
El contrato de Miter expira, y no hay un plan de respaldo
Miter ha confirmado que su contrato del DHS para administrar los programas CVE y CWE está programado para caducar el 16 de abril de 2025, y a partir de ahora, no se ha finalizado ninguna renovación. Este contrato, renovado anualmente, ha financiado el trabajo crítico para mantener el programa CVE en funcionamiento, incluidas las actualizaciones del esquema, la coordinación de la asignación y la investigación de vulnerabilidad.
“No renovar el contrato de Miter para el programa CVE, aparentemente expirar el 16 de abril de 2025, corre el riesgo de una interrupción significativa”, dijo Jason mi hombroMiembro senior en Sectigo. “Una ruptura de servicio probablemente degradaría las bases y avisos de datos de vulnerabilidades nacionales. Este lapso podría afectar negativamente a los proveedores de herramientas, las operaciones de respuesta a incidentes y la infraestructura crítica. Miter enfatiza su compromiso continuo, pero advierte sobre estos impactos potenciales si la vía de contratación no se mantiene”.
Miter ha indicado que los registros históricos de CVE seguirán siendo accesibles a través de Github, pero sin fondos continuos, el lado operativo del programa, incluida la asignación de nuevas CVE, se oscurecerá de manera efectiva. Eso no es un inconveniente menor. Podría cambiar cómo la comunidad global de seguridad cibernética identifica, comunica y responde a nuevas amenazas.
Un solo punto de falla en un sistema global
Greg AndersonCEO y fundador de Defectdojo, expresó lo que muchos en la comunidad están sintiendo: “La confirmación de Miter de que está perdiendo fondos del DHS para mantener el programa de vulnerabilidades y exposiciones comunes (CVE) debe preocupar a cada profesional de la ciberseguridad en todo el mundo, especialmente teniendo en cuenta que la fondos expira de mañana, sin lugar para que nada sea construido en su lugar”.
Anderson agregó un experimento de pensamiento aleccionador: “Si, como se esperaba, la base de datos se desconecta mañana y solo quedan registros de Github, cada equipo de seguridad acaba de perder un recurso esencial para advertencias tempranas y un marco cohesivo para nombrar y abordar las vulnerabilidades”.
Explicó los riesgos de un paisaje fragmentado: “para ilustrar, digamos que surge una nueva vulnerabilidad en el cifrado utilizada en Internet. Sin el programa CVE, un órgano no gobernado puede nombrar el problema” el peor defecto de cifrado “, pero otro cuerpo no gobernador nombra el problema” una falla terrible de cifrado “, sin saberlo, sin saberlo, cómo no sabemos, cómo no sabemos, cómo no sabemos, cómo no se sabe, cómo no sabemos, cómo no se sabe, cómo no se sabe que cVe cVe cVe cVe-xxx. sobre el mismo problema? “
Anderson advirtió que “los profesionales de la seguridad tendrán que recopilar y consolidar información de manera separada sin CVE como un repositorio central, lo que cuesta un tiempo valioso que se podría dedicar a abordar los problemas”. También señaló que los profesionales de la seguridad tienen que lidiar con un abrumador volumen de amenazas: más de 40,000 CVE que se encontraron el año pasado, además de vulnerabilidades más antiguas que todavía se están explotando hoy.
“La pérdida de CVE y su base de datos podrían dar lugar a un colapso total de cómo se evalúan, comunican y remedian las vulnerabilidades conocidas hoy”, concluyó.
Scramble gubernamental y alarma de la industria
Miter ha dicho que las discusiones con el gobierno de los Estados Unidos están activas y que sigue comprometida con la misión CVE. Pero con la fecha de vencimiento que se avecina, el tiempo se está quedando corto, y las consecuencias de incluso una brecha temporal son graves.
“Esperemos que esta situación se resuelva rápidamente”, dijo Casey EllisFundador de Bugcrowd. “CVE respalda una gran parte de la gestión de vulnerabilidad, la respuesta a los incidentes y los esfuerzos críticos de protección de la infraestructura. Una interrupción repentina en los servicios tiene el potencial muy real de burbujear en un problema de seguridad nacional en poco tiempo”.
En todo el ecosistema de ciberseguridad, desde los proveedores hasta las agencias gubernamentales, la llamada es la misma: resolver esto y rápido.
Esta es una llamada de atención
Ya sea que la financiación se restablezca en el tiempo o no, este momento debería servir como una llamada de atención para la industria y los formuladores de políticas por igual. Un programa tan vital como CVE no debe estar colgado de un hilo cada abril. Necesita fondos estables a largo plazo y un modelo de gobierno robusto que garantice la continuidad, incluso frente a retrasos burocráticos o vientos políticos cambiantes.
Las amenazas cibernéticas están evolucionando más rápido que nunca. Apagando el programa CVE, incluso brevemente, sería como apagar el control de tráfico aéreo a mitad de vuelo.
No se trata solo de mantener una base de datos. Se trata de mantener la confianza en los sistemas que nos protegen a todos.
