Кибербезопасность обанкротилась: федеральное финансирование программы CVE заканчивается
Программа CVE по отслеживанию уязвимостей в безопасности лишится федерального финансирования. Фондирование заканчивается у программы Common Vulnerabilities and Exposures (CVE) — системы, используемой крупнейшими компаниями, такими как Microsoft, Google, Apple, Intel и AMD для выявления и отслеживания раскрытых уязвимостей кибербезопасности. Эта программа помогает инженерам понять, насколько серьезен эксплойт и приоритизировать применение патчей или других мер.
MITRE, государственная организация, стоящая за этой программой, подтвердила изданию The Verge, что контракт на "развитие, эксплуатацию и модернизацию" CVE истечет 16 апреля.
Программа CVE была запущена в 1999 году и содержит базу данных, в которой принимающие участие организации могут присваивать идентификаторы известным уязвимостям кибербезопасности. Идентификаторы состоят из букв "CVE", за которыми следуют год и номер, например, CVE-2022-27254, позволяя специалистам по безопасности отслеживать детали уязвимостей, которые могут повлиять на устройства, которые мы используем каждый день, и системы, содержащие информацию, важную для практически всего, что мы делаем.
Лукаш Олейник, исследователь в области безопасности и конфиденциальности, заявил в посте на X, что отсутствие поддержки для CVE может "парализовать" системы кибербезопасности по всему миру. "Последствием станет нарушение координации между поставщиками, аналитиками и системами защиты — никто не будет уверен, что говорит об одной и той же уязвимости," - написал Олейник. "Полный хаос и резкое ослабление кибербезопасности по всем направлениям."
Yosry Barsoum, вице-президент MITRE и директор Центра защиты родины, в своем emailed заявлении для The Verge сказал, что правительство продолжает применять значительные усилия для поддержки роли MITRE в программе, и MITRE остается приверженной CVE как глобальному ресурсу. Бarsuom также добавил, что изменения повлияют на программу Common Weakness Enumeration, которая учитывает слабости в аппаратном и программном обеспечении.
Это известие впервые было обнаружено в утечке письма членам совета MITRE, размещенном на X и Bluesky. MITRE получает финансирование от Министерства внутренней безопасности США (DHS) и Агентства по безопасности инфраструктуры (CISA) для "эксплуатации и развития программы CVE как независимой, объективной третьей стороны," согласно видео о программе.
Финансирование программы CVE, которая служит своего рода паспортом уязвимостей в кибербезопасности, завершает свою «веселую» эпоху. Очевидно, что государственная щедрость иссякла именно тогда, когда крупнейшие технологические гиганты, такие как Microsoft и Google, могут воспользоваться этим моментом, чтобы вместе потанцевать в наигранном вальсе “каждый сам за себя”.
MITRE, это такая "государственная пальца в небо", объявила о завершении своего контракта 16 апреля — замечательный день, чтобы не о чем не думать... или точно так же как и всегда делать вид, что ничего страшного не происходит. Программа, стартовавшая в 1999 году, должна была стать спасательным кругом для специалистов по безопасности, но, похоже, из нее выпустили воздух.
Вероятно, истечение контракта неразрывно связано с той чудесной традицией штатов, где все гениальные идеи начинают испытывать финансовую сушь в самый неподходящий момент. Теперь, когда этой системе вдруг перестали выделять ресурсы, специалистам придется самим выискивать уязвимости. Забудьте о координации — хаос и смятение на полях сражения кибербезопасности готовы его принять!
Лукаш Олейник, голос разума среди безумия, призывает к панике, предвещая «паралич» всей киберзащиты. И действительно, чего вдруг можно ожидать от системы, где все начинают подразумевать диктат на киберправопорядок? Между поставщиками и аналитиками, которые только что дотирались до общих языков, вновь встанут стенки непонимания.
Yosry Barsoum из MITRE с заботой говорит о продолжении усилий. Не только что правительство активно дышит, но и для этого следует привлечь деньги у того же Министерства внутренней безопасности. Это как оставлять дерево в лесу с надеждой, что через зимние метели оно само найдет путь к свету. Кроме того, влияние на программу Common Weakness Enumeration звучит как прекрасный повод для новых распрей: «Кто хорошо знает — тот и живет».
Из письма, случайно выложенного в сеть, вытекает, что MITRE продолжает получать финансирование от ценителей контроля за внутренней безопасностью (взгляд справа, взгляд слева!). Кто бы мог подумать, что за решением о прекращении финансирования стоит не только калейдоскоп интересов, но и желающих еще использовать эту историю для полного разгула? Конечно, потребуется кого-то винить, когда вдруг на экране перед вами заявится неконтролируемая угроза, и тогда запустится волна: «Дайте финансирование!» — как всегда, без рекламы по средствам массовой информации.