16 апреля 2024 года истекает финансирование, выделяемое правительством США некоммерческой организации MITRE на поддержку и развитие программы Common Vulnerabilities and Exposures (CVE). Это событие может стать беспрецедентным ударом по инфраструктуре мировой кибербезопасности, поскольку CVE на протяжении 25 лет является стандартом для систематизации и идентификации публично раскрываемых уязвимостей.
CVE, запущенная в сентябре 1999 года, обеспечивает уникальными идентификаторами — CVE IDs — каждую обнаруженную и опубликованную уязвимость. На сегодняшний день в базе зарегистрировано более 274 000 записей. Программа поддерживается Министерством внутренней безопасности США (DHS) и Агентством по кибербезопасности и безопасности инфраструктуры (CISA), а её оператором выступает MITRE.
Вице-президент MITRE и директор Центра по обеспечению национальной безопасности (CSH) Йосри Барсум заявил: финансирование на «разработку, эксплуатацию и модернизацию CVE и связанных программ, таких как Common Weakness Enumeration (CWE), будет прекращено». По его словам, возможный перерыв в работе приведёт к «множественным последствиям», включая деградацию национальных баз данных уязвимостей и информационных бюллетеней, снижение эффективности работы вендоров средств защиты, ухудшение реагирования на инциденты, а также риски для критически важной инфраструктуры. Барсум подчеркнул, что MITRE остаётся приверженной роли CVE как глобального ресурса, а государство прилагает значительные усилия для поиска решений.
Реакция отрасли не заставила себя ждать. Компания VulnCheck, являющаяся как фирмой в сфере кибербезопасности, так и официальным органом по присвоению CVE-номеров (CNA), заранее зарезервировала 1 000 CVE для использования в 2025 году, чтобы минимизировать возможный разрыв в предоставлении услуг.
Джейсон Сороко, старший научный сотрудник Sectigo, отметил: «Перерыв в работе приведёт к деградации национальных баз данных уязвимостей и информационных бюллетеней, что негативно отразится на поставщиках инструментов, операциях по реагированию на инциденты и критической инфраструктуре».
Серьёзные опасения выразил и Тим Пек, старший исследователь угроз в Securonix: «Если случится простой, это будет иметь колоссальные последствия — CNA и специалисты по защите не смогут получать или публиковать CVE, что вызовет задержки в раскрытии уязвимостей». Он подчеркнул важность CWE для классификации и приоритизации слабых мест в программном обеспечении, отметив: «Приостановка CWE ударит по процессам безопасной разработки и оценке рисков».
Пек также заявил: «Программа CVE — это перечень для ссылок и фундаментальный инфраструктурный элемент, основной ресурс для координации, приоритизации и реагирования на уязвимости в частном секторе, на государственном уровне и в сообществе open source».
Угроза прекращения финансирования CVE и CWE затрагивает не только специалистов по кибербезопасности, но и весь рынок программных решений, поставщиков критической инфраструктуры и государственные структуры. Возможный разрыв в работе приведёт к задержкам в раскрытии уязвимостей, снижению качества инструментов для оценки рисков, а также усложнит процессы обеспечения защищённости программных продуктов.
Резервирование CVE фирмой VulnCheck — временная мера. Отсутствие стабильной поддержки грозит замедлением обмена информацией о новых угрозах, что критично влияет на реагирование на инциденты и защиту ключевых секторов экономики.
CVE и CWE остаются краеугольными камнями систем управления уязвимостями, и их сохранение — задача глобального масштаба, требующая срочного решения на самом высоком уровне.
Изображение носит иллюстративный характер
CVE, запущенная в сентябре 1999 года, обеспечивает уникальными идентификаторами — CVE IDs — каждую обнаруженную и опубликованную уязвимость. На сегодняшний день в базе зарегистрировано более 274 000 записей. Программа поддерживается Министерством внутренней безопасности США (DHS) и Агентством по кибербезопасности и безопасности инфраструктуры (CISA), а её оператором выступает MITRE.
Вице-президент MITRE и директор Центра по обеспечению национальной безопасности (CSH) Йосри Барсум заявил: финансирование на «разработку, эксплуатацию и модернизацию CVE и связанных программ, таких как Common Weakness Enumeration (CWE), будет прекращено». По его словам, возможный перерыв в работе приведёт к «множественным последствиям», включая деградацию национальных баз данных уязвимостей и информационных бюллетеней, снижение эффективности работы вендоров средств защиты, ухудшение реагирования на инциденты, а также риски для критически важной инфраструктуры. Барсум подчеркнул, что MITRE остаётся приверженной роли CVE как глобального ресурса, а государство прилагает значительные усилия для поиска решений.
Реакция отрасли не заставила себя ждать. Компания VulnCheck, являющаяся как фирмой в сфере кибербезопасности, так и официальным органом по присвоению CVE-номеров (CNA), заранее зарезервировала 1 000 CVE для использования в 2025 году, чтобы минимизировать возможный разрыв в предоставлении услуг.
Джейсон Сороко, старший научный сотрудник Sectigo, отметил: «Перерыв в работе приведёт к деградации национальных баз данных уязвимостей и информационных бюллетеней, что негативно отразится на поставщиках инструментов, операциях по реагированию на инциденты и критической инфраструктуре».
Серьёзные опасения выразил и Тим Пек, старший исследователь угроз в Securonix: «Если случится простой, это будет иметь колоссальные последствия — CNA и специалисты по защите не смогут получать или публиковать CVE, что вызовет задержки в раскрытии уязвимостей». Он подчеркнул важность CWE для классификации и приоритизации слабых мест в программном обеспечении, отметив: «Приостановка CWE ударит по процессам безопасной разработки и оценке рисков».
Пек также заявил: «Программа CVE — это перечень для ссылок и фундаментальный инфраструктурный элемент, основной ресурс для координации, приоритизации и реагирования на уязвимости в частном секторе, на государственном уровне и в сообществе open source».
Угроза прекращения финансирования CVE и CWE затрагивает не только специалистов по кибербезопасности, но и весь рынок программных решений, поставщиков критической инфраструктуры и государственные структуры. Возможный разрыв в работе приведёт к задержкам в раскрытии уязвимостей, снижению качества инструментов для оценки рисков, а также усложнит процессы обеспечения защищённости программных продуктов.
Резервирование CVE фирмой VulnCheck — временная мера. Отсутствие стабильной поддержки грозит замедлением обмена информацией о новых угрозах, что критично влияет на реагирование на инциденты и защиту ключевых секторов экономики.
CVE и CWE остаются краеугольными камнями систем управления уязвимостями, и их сохранение — задача глобального масштаба, требующая срочного решения на самом высоком уровне.