米国主導の共通脆弱性列挙(CVE)プログラムの代替として、新しいコミュニティ主導のヨーロッパ本部のプログラムがセキュリティ専門家に歓迎されています。
オープンソースのグローバルサイバーセキュリティ脆弱性列挙(GCVE)イニシアティブは、25以上の公開ソースから脆弱性情報をまとめています。これには、脆弱性識別子を独立して割り当てて公開できるGCVE番号付与機関(GNA)が含まれます。
「GNAおよび他の発行者がグローバルな相関関係の利益を得ながら独立してデータに貢献できるようにすることで、GCVEは単一障害点を減らし、脆弱性管理におけるイノベーションを促進することを目指しています」とGCVEは述べています。
「db.gcve.euの目標は、コミュニティに脆弱性インテリジェンスのための単一の統一された公開アクセス可能な参照ポイントを提供することであり、防御者、研究者、CSIRT、ベンダー、およびオープンソースプロジェクトがエコシステム全体でセキュリティアドバイザリをより簡単に追跡、相関関係付け、分析できるようにします。」
このアイデアは、db.gcve.euプラットフォームがルクセンブルグコンピュータインシデント対応センター(CIRCL)によってホストおよび運用される、分散化されたレジリエントな脆弱性識別、開示、公開エコシステムを作成することです。
「これはインフラストラクチャ、データ、運用への完全な管理を確保します。オープンソースソフトウェア、オープンデータ、およびヨーロッパが管理するインフラストラクチャを組み合わせることで、GCVEとCIRCLはデジタル主権、戦略的自律性、および脆弱性情報共有への信頼を強化することに貢献しています」とGCVEは述べました。
米国の資金調達に関する懸念
このモデルは、アメリカの非営利団体MITREが運用する集中化されたCVEプログラムとは大きく対照的です。昨年、トランプ政権の政府効率化部門(DOGE)が2,800万ドル以上のMITREの契約をキャンセルした後、激しい不確実性の時期に見舞われました。
結局のところ、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は土壇場で介入しプログラムを救い、11か月の契約延長を発表しました。
しかし、これが引き起こした実存的な危機は、サイバーセキュリティコミュニティの多くにとって非常に危険な状況であり、多くの人々が代替案を探すきっかけになりました。
Closed Door Security CEOのウィリアム・ライト氏は、この点でGCVEの立ち上げを歓迎しました。
「別の大規模プログラムの確立は、CVEプログラムのシャットダウンが単一障害点になることを防ぎます」と彼は主張しました。
「GCVEの確立はまた、CVEプログラムの継続的な資金調達を取り巻く不確実性に先制的に対応し、万が一シャットダウンされた場合でも、GCVEシステムはサイバーセキュリティ研究者とプロフェッショナルが即座に頼ることができる代替手段を提供します。」
ライト氏はまた、CVEプログラムのスピードと有効性、および国家脆弱性データベースを運用するMITREとNISTが急速に変化する脅威景観に対応する能力に関する高まる懸念を指摘しました。
「新しいEUプログラムは分散化されており、CVEとクロスコンパチブルであり、複数のソースからのデータを補足および正規化し、指定されたGNAによる脆弱性の文書化と公開が中央承認なしで可能になるように設計されています」と彼は述べました。
「これが願わくば、より速く堅牢なドキュメンテーションプロセスを可能にし、政府と企業が深刻な脅威にさらに迅速に対応できるようにすることを期待しています。」
Talionの脅威インテリジェンス責任者であるナタリー・ペイジ氏は、同様の言葉でGCVEの立ち上げを称賛しました。
「CVEプログラムを多様化することで、これは世界がもはや評価と開示に関して単一の団体にのみ頼っていないことを意味します」と彼女は述べました。「しかし、このプログラムの1つの注意点は、組織を混乱させたり、CVE追跡との不整合を引き起こさないようにすることを目指すべきであるということです。米国のCVEプログラムとの互換性を目指し、同様の言語と評価を使用すべきです。」
別のヨーロッパ脆弱性データベース(EUVD)イニシアティブも昨年立ち上がりました。
翻訳元: https://www.infosecurity-magazine.com/news/global-cybersecurity-vulnerability/
