Program CVE Memotong Kirim Sektor Cyber ​​ke Mode Panik

Sesuai dengan janji administrasi saat ini untuk Skinny Down Government ke sisa -sisa kerangka, Badan Keamanan Cybersecurity dan Infrastructure (CISA) dilaporkan siap untuk membiarkan kontraknya dengan MITER untuk mengelola kerentanan umum dan direktur Exposures (CVE) di antara waktu yang lebih baik. Komunitas yang CISA membalikkan kursus dan memutuskan untuk melempar CVE CVE sementara, memperluas dukungan selama 11 bulan lagi.

Apa yang akan terjadi selanjutnya adalah biaya sektor swasta dalam salah satu dari dua cara – peningkatan risiko atau dana untuk program yang bergerak maju.

“Pada hari Rabu, 16 April 2025, pendanaan bagi Miteri untuk mengembangkan, mengoperasikan, dan memodernisasi program dan eksposur umum (CVE) yang umum dan program terkait, seperti program Enumeration (CWE) yang umum, akan berakhir,” surat yang ditujukan kepada anggota dewan CVE dibaca.

“Jika istirahat dalam layanan terjadi, kami mengantisipasi berbagai dampak pada CVE, termasuk kerusakan basis data dan nasihat kerentanan nasional, vendor alat, operasi respons insiden, dan segala macam infrastruktur kritis.”

Terkait:Apple nol-days di bawah 'serangan canggih,' tetapi detail yang kurang

Surat itu mendarat seperti napalm di seluruh media sosial cybersecurity, menarik ketidakpercayaan dan penghukuman dari banyak nama terkenal, terutama mantan Direktur CISA Jen Easterly, yang turun ke LinkedIn untuk membuat Kasus untuk mendanai programmembandingkannya dengan “sistem desimal Dewey untuk keamanan siber.”

“Kehilangan itu akan seperti merobek katalog kartu dari setiap perpustakaan sekaligus – meninggalkan bek untuk memilah -milah kekacauan sementara penyerang mengambil keuntungan,” Easterly memperingatkan. Dia menambahkan bahwa tanpa sistem CVE, bisnis akan menghadapi peningkatan risiko serangan siber, biaya yang lebih tinggi, dan kerusakan reputasi.

Hanya beberapa jam kemudian, CISA membalik kursus.

“Berkat tindakan yang diambil oleh Pemerintah, istirahat dalam pelayanan untuk Program Kerentanan dan Eksposur (CVE) yang umum dan Program Pencacahan Kelemahan Umum (CWE) telah dihindari,” kata Barsoum sebagai tanggapan atas keputusan CISA. “Pada Rabu pagi, 16 April 2025, CISA mengidentifikasi dana tambahan untuk menjaga program tetap operasional. Kami menghargai dukungan luar biasa untuk program -program ini yang telah diungkapkan oleh komunitas cyber global, industri, dan pemerintah selama 24 jam terakhir.”

CISA belum menanggapi permintaan komentar.

Ditanya bagaimana Miteri bermaksud untuk membuat kekurangan tanpa kontrak CISA, juru bicara Miter menjawab, “Mitre tetap berkomitmen pada keamanan siber negara kami dan kami akan bekerja dengan sponsor federal kami, dewan CVE, dan komunitas keamanan siber tentang pertimbangan untuk dukungan keuangan dan masyarakat yang berkelanjutan dari program CVE.”

Terkait:Peretas yang terhubung dengan China meletakkan backstorm badai di jaringan euro

Mengapa program CVE penting?

Itu Program CVE debutnya pada tahun 1999. Sampai sekarang, telah didanai dan dioperasikan secara federal oleh Mitre Corporation, yang, menurut catatantelah menerima sekitar $ 29 juta dari CISA untuk proyek tersebut selama kontrak terakhirnya, diperbarui pada April 2023.

Misi program CVE cukup sederhana: mengidentifikasi dan membuat katalog, dan mendefinisikan kerentanan yang diungkapkan untuk referensi. Tetapi dampaknya sangat besar. Dengan penghitungan Miteri, seorang juru bicara menunjukkan data yang dikumpulkan di bawah program CVE mendukung seluruh pasar vendor keamanan siber senilai $ 37 miliar, termasuk manajemen kerentanan, intelijen ancaman, manajemen acara, dan deteksi dan respons titik akhir. Itu Pencacahan kelemahan umum Program adalah katalog kelemahan yang bersumber dari komunitas pendamping dalam perangkat lunak dan perangkat keras yang berpotensi menjadi kerentanan.

“Program Mitre CVE mendukung hampir setiap pakan ancaman utama, pemindaian kerentanan, dan alat klasifikasi risiko yang tersedia untuk praktisi keamanan hari ini,” Ben Radcliff, direktur senior operasi cyber di Optiv, mengatakan dalam sebuah pernyataan. “Salah satu yang digunakan analis ancaman utama saat triaging kerentanan untuk remediasi adalah skor CVE yang sesuai.”

Terkait:Pemulihan Direktori Aktif tidak bisa menjadi renungan

Kesenjangan apa pun dalam program CVE secara inheren akan menciptakan risiko bisnis tambahan, Conal Gallagher, Chief Information Officer (CIO) dan Kepala Petugas Keamanan Informasi (CISO) dari Flexera, mengatakan dalam sebuah pernyataan.

“Ini telah menjadi roller coaster perkembangan di sekitar program CVE, dan sementara ekstensi menit terakhir dari CISA positif, intinya di sini adalah bahwa kekacauan dan ketidakpastian menciptakan risiko,” kata Gallagher. “Risiko yang tidak mampu dibayar oleh bisnis karena mereka bekerja untuk memperkuat pertahanan keamanan siber dan dengan cepat menanggapi kerentanan. Dan komunitas cybersecurity tidak akan menunggu 11 bulan untuk melihat apa yang berikutnya; alternatif sudah dipertimbangkan karena seluruh proses CVE diperiksa ulang.”

Sementara banyak sektor keamanan siber belajar tentang rencana pemerintah federal untuk membatalkan kontrak manajemen program Mitre CVE pada 15 April, ada pekerjaan yang terjadi untuk membuat jalur ke depan. Dewan CVE telah bekerja selama satu tahun untuk mengantisipasi kehilangan dana pemerintah untuk upaya tersebut, dan telah mengumumkan Foundation CVE baru untuk mendukung upaya tersebut.

“Sejak awal, program CVE telah beroperasi sebagai inisiatif yang didanai pemerintah AS, dengan pengawasan dan manajemen yang diberikan berdasarkan kontrak,” Pengumuman peluncuran CVE Foundation dikatakan. “Sementara struktur ini telah mendukung pertumbuhan program, ia juga telah menimbulkan kekhawatiran yang sudah berlangsung lama di antara anggota Dewan CVE tentang keberlanjutan dan netralitas sumber daya yang diandalkan secara global yang terkait dengan sponsor pemerintah tunggal.”

CVE Foundation juga menjanjikan lebih banyak detail dalam beberapa hari mendatang tentang bagaimana rencananya untuk beroperasi dan, secara kritis, “peluang untuk keterlibatan dari komunitas yang lebih luas.”

Casey Ellis, pendiri Bugcrowd, menunjukkan dalam sebuah pernyataan bahwa ada selera di antara komunitas cybersecurity yang akan membantu untuk membantu mendukung program CVE.

“Pengumuman potensi gangguan yang keluar kemarin menyebabkan banyak kerumunan di banyak lingkaran, dan akhirnya telah mempercayai proses CVE, dan beberapa lembaga pemerintah alternatif di luar AS, serta beberapa vendor, telah mengisyaratkan niat mereka untuk melangkah,” kata Ellis. “Tantangan yang diciptakan ini adalah standar split, yang bekerja bertentangan dengan seluruh tujuan program seperti CVE: membuat kunci data yang dapat referensi tunggal berdasarkan per kerentanan.”

Memang, karena masa depan proyek CVE terlihat sedikit goyah, Uni Eropa telah bekerja selama tiga tahun terakhir dengan yang bersaing Database Kerentanan Eropa dengan sendirinya di bawah Badan Keamanan Siber Eropa.

Stephen Moore, wakil presiden dan kepala strategi keamanan dan salah satu pendiri tim peneliti Ten18 di Exabeam, menyarankan dalam sebuah pernyataan bahwa mungkin sudah waktunya untuk mempertimbangkan untuk memindahkan program CVE di luar Miter.

“Diskusi jangka panjang harus diadakan mengenai apakah kemampuan ini harus terus tinggal dengan mitra atau ditransfer ke NIST, FFRDC, atau CISA itu sendiri,” kata Moore.

Ditanya oleh Dark Reading mengapa pemotongan program CVE menarik respons yang begitu kuat, Moore menambahkan ada komponen emosional untuk keterikatan komunitas cybersecurity dengan program CVE serta yang praktis.

“Saya tidak bisa berbicara untuk semua orang, tetapi jelas bagi saya betapa kemampuan ini penting bagi masyarakat,” katanya. “Di luar apa yang sebagian besar orang luar pahami, orang bisa berpendapat bahwa itu membangkitkan nostalgia yang melampaui kebutuhan kritisnya untuk penggunaan global yang tidak terputus.”