CISA junta-se ao MITRE para emitir identificadores de vulnerabilidade
A Agência de Segurança Cibernética e de Infraestrutura se tornará uma parceira do MITRE no programa CVE, provavelmente levando a aumentos contínuos nas vulnerabilidades divulgadas.
A Agência de Infraestrutura e Segurança Cibernética (CISA) do Departamento de Segurança Interna dos EUA assumiu a responsabilidade de atribuir identificadores de Enumeração de Vulnerabilidade Comum (CVE) para vulnerabilidades de software em duas indústrias específicas – dispositivos médicos e sistemas de controle industrial – como parte de uma expansão planejada no número de organizações que gerenciam informações de vulnerabilidade, de acordo com a CISA e a empresa contratada pelo governo MITRE.
A CISA, que informa e gerencia o risco de segurança cibernética para os Estados Unidos, se tornará a chamada “Autoridade Numérica CVE (CNA) de nível raiz”, gerenciando inicialmente sete organizações diferentes: Alias Robotics, ABB, CERT @ VDE , Gallagher Group, Johnson Controls, Robert Bosch e Siemens. Cada uma das organizações emite CVEs para seus próprios produtos – ou, no caso da CERT @ VDE , uma organização técnica alemã, para os parceiros do grupo na indústria de automação – mas a CISA supervisionará o programa e expandirá a associação entre essas indústrias.
A adição do CISA marca a primeira vez que o MITRE tem “uma organização de pares dentro do programa”, disse Chris Levendis, membro do conselho do Programa CVE e engenheiro de sistemas principal do MITRE.
“Eles terão as mesmas responsabilidades do MITRE CNA”, afirma. “Eles são responsáveis, por exemplo, por recrutar e integrar novos CNAs dentro de seu escopo de ICS e dispositivo médico, garantindo a atribuição de varejo de IDs de CVE dentro de seu escopo, julgando disputas dentro de seu escopo [e] participando de grupos de trabalho do programa … Eles são responsáveis por garantir a divulgação coordenada e responsável da vulnerabilidade dentro de seu escopo. “
Os grupos de nível raiz da CISA e do MITRE se reportarão à diretoria que gerencia o programa CVE, de acordo com o anúncio de 15 de setembro . Embora a Equipe de Resposta a Emergências de Computadores do Japão (JP-CERT) seja atualmente designada como Autoridade de Numeração CVE (CNA) de nível raiz, o grupo atualmente não gerencia nenhuma outra CNAs subsidiária, de acordo com o MITRE.
“Continuar a encorajar a divulgação pública e transparente de sistemas de controle industrial e vulnerabilidades de dispositivos médicos é uma missão crítica para a CISA”, disse Bryan Ware, diretor assistente de segurança cibernética da CISA, em um comunicado . “Esta expansão incentivará mais fornecedores a participarem do programa CVE e permitirá que a CISA dê um melhor suporte às partes interessadas à medida que se tornam mais engajadas.”
A adição do CISA continua os esforços do MITRE para aumentar a participação no programa CVE após um período problemático entre 2014 e 2016 que levou a quebras de processo e atrasos crescentes na atribuição de identificadores CVE a vulnerabilidades. O programa CVE adotou uma abordagem de gestão federada que expandiu o número de CNAs de menos de duas dúzias em 2016 para 139 em 16 de setembro . Em parte como resultado, o número de vulnerabilidades documentadas quase triplicou de menos de 6.500 em 2016 para mais de 17.300 no ano passado.
O MITRE continua trabalhando para expandir o programa, diz Levendis.
“O objetivo do programa CVE é escalar o programa por meio de sua estratégia de crescimento federado”, diz ele. “O programa CVE pretende adicionar mais CNAs raiz conforme os participantes dispostos são identificados. Isso permite a governança federada e distribuída e a operação do programa CVE por uma comunidade engajada de partes interessadas.”
Somente no ano passado, o programa CVE adicionou como CVE Numering Authorities uma variedade de empresas que gerenciam repositórios significativos de código. Tanto o GitHub quanto o Gitlab – que hospeda o código para um grande número de projetos de código aberto e repositórios de software privados – se tornaram CNAs este ano, por exemplo.
A adição de um CNA de gerenciamento para as indústrias de dispositivos médicos e sistema de controle industrial (ICS) deve resultar em mais cobertura de software nesses setores e, como resultado, um maior número de vulnerabilidades, diz Chris Wysopal, fundador e diretor de tecnologia da Veracode, empresa de segurança de aplicativos.
“Isso deve dar capacidade extra para nomear vulnerabilidades exclusivas e obter as informações para o fornecedor apropriado para vulnerabilidades de ICS e dispositivos médicos”, diz ele. “Quando você olha a lista CNA, não há muitos fornecedores de ICS e nem um único fornecedor de dispositivo médico. Como o número de produtos de software individuais, pacotes de código aberto, IoT e dispositivos incorporados continua a se expandir rapidamente, isso deve ajudar mais vulnerabilidades sejam nomeadas e tratadas adequadamente. “
À medida que o conselho CVE continua a expandir o número de CNAs e CNAs de nível raiz, o número geral de vulnerabilidades provavelmente aumentará, diz Wysopal.
“O programa CVE foi concebido em um mundo diferente antes de SaaS, IoT, ICS conectado por TCP / IP, bibliotecas de código aberto e dispositivos médicos conectados em rede”, diz ele, acrescentando que, por exemplo, mais de 40% das vulnerabilidades em o software de código aberto não teve um identificador CVE atribuído. “Conforme os recursos de teste se expandem para mais plataformas e dispositivos, sem dúvida haverá mais vulnerabilidades para rastrear e gerenciar. Quanto mais pessoas se concentram nesses dispositivos, os números aumentam.”