0
0
A CiSA (Agência de Segurança cibernética e segurança de infraestrutura) dos EUA foi nomeada uma Autoridade de Numeração de CVE raiz de alto nível (CNA).
A Agência de Segurança Cibernética e Segurança de Infraestrutura dos EUA (CISA) foi nomeada Uma Autoridade de Numeração de CVE Raiz de Alto Nível (CNA), que supervisionará as CNAs na atribuição de identificadores CVE para vulnerabilidades em sistemas de controle industrial (ICS) e dispositivos médicos.
Cada CNA é responsável pela emissão de identificadores CVE para vulnerabilidades encontradas em produtos, enquanto um CNA raiz de alto nível gerencia um grupo de CNAs pertencentes ao mesmo domínio ou comunidade e pode atribuir IDs CVE a vulnerabilidades.
Atualmente, cisa e MITRE são os únicos CNAs raiz de alto nível, há também 139 CNAs em 24 países.
A CISA ficará encarregada do ICS e dos fornecedores de dispositivos médicos que são CNAs, supervisionará o processo para atribuir identificadores CVE. Outras tarefas incluem a implementação de regras e diretrizes do Programa CVE, a resolução de disputas e a contratação de novas CNAs.
As CNAs gerenciadas pela CISA são Alias Robotics, ABB, CERT@VDE, Johnson Controls, Bosch, Siemens e Gallagher Group.
“Como Raiz de Alto Nível para ICS e dispositivos médicos, a CISA é responsável por garantir a efetiva atribuição dos IDs CVE, implementar as regras e diretrizes do Programa CVE e gerenciar as CNAs sob seus cuidados. Também é responsável pelo recrutamento e onboarding de novos CNAs e resolução de disputas dentro de seu escopo”, lê-se no comunicado de imprensa da CISA e da Mitre.
“Estabelecer o CISA como uma raiz de alto nível consolida a vasta expertise necessária para efetivamente atribuir IDs de CVE às vulnerabilidades do ICS e de dispositivos médicos e permite a rápida identificação e resolução de problemas específicos para esses ambientes.”
O trabalho do CISA permitirá a rápida identificação e resolução das vulnerabilidades do ICS e dos dispositivos médicos.
A Agência dos EUA tem que promover o compartilhamento de informações para ajudar as partes interessadas a seignem atualizadas sobre vulnerabilidades e riscos associados.
Recentemente, a empresa de segurança OT e IoT Nozomi Networks anunciou que se tornou uma Autoridade de Numeração de Vulnerabilidades e Exposições Comuns (CVE).
FONTE: SECURITY AFFAIRS