С 16 апреля система данных об уязвимостях CVE (Common Vulnerabilities and Exposures) утратила финансирование из-за непродления контракта между Агентством по кибербезопасности США (CISA) и корпорацией MITRE, отвечавшей за поддержку базы, пишет РБК. CISA работает над смягчением последствий и сохранением услуг CVE, однако причины прекращения контракта не раскрыты.
CVE — это база данных известных уязвимостей, созданная в 1999 году, содержащая более 270 тыс. записей. Партнерами CVE являются 453 организации из 40 стран, включая российские компании, такие как "Лаборатория Касперского" и "Яндекс". База помогает оценить критичность уязвимостей и предлагает меры для их устранения.
Прекращение финансирования системы CVE может негативно сказаться на международном и российском сообществе в сфере информационной безопасности. Многие компании, включая производителей сканеров уязвимостей, опирались на CVE как на единый стандарт. Российские предприятия используют CVE для сопоставления уязвимостей своих продуктов с глобальными классификаторами, что критично для выхода на международные рынки и взаимодействия с зарубежными партнерами.
Отказ от CVE может затруднить обмен данными об угрозах, что повысит риски для кибербезопасности. Местные решения, такие как сканеры уязвимостей, зависят от CVE для обновления сигнатур угроз. Запоздалое получение информации о новых уязвимостях может создать возможности для злоумышленников и усложнить защиту критической инфраструктуры.
Существуют альтернативы CVE, такие как базы данных ФСТЭК, Open Source Vulnerability database (OSV), VulDB и другие, но они не являются полноценными аналогами. Эксперты отмечают, что быстро заменить CVE не получится, так как требуется значительное время и усилия для перенаправления потоков информации и создания новых автоматизированных систем для обработки данных об уязвимостях. Усиление импортозамещения может стать ключом к улучшению ситуации в этой области.
Напомним, как ранее писал "Кабельщик", ФСТЭК насчитала больше тысячи уязвимостей в государственных системах.
- Войдите или зарегистрируйтесь, чтобы оставлять комментарии
