Depois de enviar ondas de choque pela comunidade de segurança cibernética na noite de terça-feira, a CISA anunciou ontem que estendeu seu contrato com o programa CVE sediado em Mitre.
Após uma grande reação da comunidade de segurança cibernética ontem, o financiamento do governo dos EUA para a organização de pesquisa sem fins lucrativos Mitre para manter e desenvolver seu banco de dados crítico de CVE de vulnerabilidades cibernéticas foi estendido ontem.
Em uma carta vazou na noite de terça -feira nas mídias sociais, o vice -presidente de Mitre Yosry Barsoum alertou sobre os possíveis danos que seriam causados por uma quebra de serviço. A Agência de Segurança de Segurança Cibernética e Infraestrutura (CISA), cuja agência controladora financia o contrato, confirmou inicialmente que o contrato estava terminando.
Mitre mantém e desenvolve o banco de dados de vulnerabilidades e exposições comuns (CVE), que visa identificar, definir e catálogo divulgou publicamente fraquezas cibernéticas e é amplamente utilizado pelos administradores de TI para identificar rapidamente vários bugs e hacks que estão sendo descobertos todos os dias.
Ontem (16 de abril), a CISA anunciou que estenderia o contrato por enquanto.
“O programa CVE é inestimável para a comunicação cibernética e uma prioridade da CISA. Na noite passada, a CISA executou o período de opção no contrato para garantir que não haja lapso nos serviços críticos de CVE”, leia a breve declaração sobre o Site da CISA. “Agradecemos a paciência de nossos parceiros e partes interessadas”.
O anúncio da CISA ocorreu poucas horas depois que um grupo do conselho da CVE anunciou a criação da fundação CVE para garantir o futuro da CVE. Muitos na comunidade ficaram aliviados ao ver que existe um plano de backup, caso o atual governo dos EUA puxe financiamento no futuro.
““A Fundação CVE foi formalmente estabelecida para garantir a viabilidade, estabilidade e independência de longo prazo do programa de vulnerabilidades e exposições comuns (CVE), um pilar crítico da infraestrutura world de segurança cibernética por 25 anos ”, anunciou a Fundação em uma declaração de pressão sobre seu novo site. A fundação foi criada por “uma coalizão de membros de longa information do conselho da CVE ativa”, afirmou. Não se sabe quais membros do conselho fazem parte da nova fundação, mas sabemos que Kent Landfield é um dos grupos, pois ele é citado em sua declaração oficial.
O comunicado da CVE dizia que houve preocupação no nível da diretoria por algum tempo de que um recurso crítico dependa do financiamento do governo e que estava trabalhando há mais de um ano para implementar um plano alternativo para garantir o futuro de um recurso crítico como o CVE.
Essa preocupação foi justificada quando, em 15 de abril, uma carta de Mitre notificou o Conselho da CVE de que o governo não pretendia renovar seu contrato para gerenciar o programa, antes de uma inversão de marcha de última hora ter sido prolongada.
“Uma coalizão de membros de longa information do conselho da CVE ativa passaram o ano passado desenvolvendo uma estratégia para fazer a transição da CVE para uma fundação dedicada e sem fins lucrativos”, dizia a declaração da fundação. “A nova fundação da CVE se concentrará apenas em continuar a missão de fornecer identificação de vulnerabilidade de alta qualidade e manter a integridade e a disponibilidade de dados de CVE para defensores em todo o mundo.
“A CVE, como uma pedra angular do ecossistema world de segurança cibernética, é importante demais para ser vulnerável”, disse Landfield, oficial da fundação. “Os profissionais de segurança cibernética em todo o mundo dependem de identificadores e dados da CVE como parte de seu trabalho diário – desde ferramentas de segurança e conselhos até a inteligência e a resposta de ameaças. Sem CVE, os defensores estão em uma desvantagem maciça contra as ameaças cibernéticas globais”.
Agora resta saber se a fundação será necessária agora que a CISA anunciou a extensão. O alívio de última hora fez pouco para tranquilizar muitos na comunidade.
“Isso não é apenas uma supervisão burocrática – é uma ameaça sísmica à segurança cibernética world”, disse Adam Khan, vice -presidente de operações de segurança world da empresa de segurança cibernética Barracuda. “Embora a extensão possa fornecer alívio temporário, não substitui uma solução sustentável. Se não conseguirmos garantir o futuro do programa CVE, corremos o risco de transformar um pilar very important de defesa digital em uma vulnerabilidade significativa”.
Ele explicou por que essa é uma questão tão crítica: “O programa CVE serve como a espinha dorsal da coordenação de vulnerabilidades; sem ele, os defensores voam cegos e ficam navegando em um campo minado sem um mapa”.
Crystal Morin, ex -analista de inteligência da Força Aérea dos EUA e atual estrategista de segurança cibernética da SYSDIG, diz que todo o incidente foi extremamente perturbador para os profissionais de segurança.
“Os protestos globais quase instantes da comunidade de segurança sobre a documentação vazada dos cortes de financiamento do governo dos EUA para o apoio de Mitre ao programa CVE ressalta o quão profundamente as pessoas dependem disso”, disse ela. “Mas agora que a poeira se acalmou e a ameaça de perda está para trás, por enquanto, é muito mais óbvio que a carta agora infame parecia mais performativa do que produtiva.
“Embora tenha provado a importância mundial do apoio de Miter à comunidade – e desceu ao fio como toda a boa história de segurança deveria – o impacto nas equipes de segurança period enorme”, acrescentou.
“Isso os tirou do trabalho actual da segurança. Alguns passaram horas dissecando a situação e se preparando para seu impacto potencialmente negativo em suas organizações, e isso os afastou do trabalho actual de proteger sistemas e pessoas”.
Entramos em contato com a nova fundação CVE para ver para onde eles vão daqui e manteremos nossos leitores atualizados.
Não perca o conhecimento necessário para ter sucesso. Inscreva -se para o Breve diariamenteDigest de Notícias de Sci-Tech da República de Silício.
