0
0
A Agência de Cibersegurança e Infraestrutura do Departamento de Segurança Interna dos EUA (CISA) assumiu a responsabilidade de atribuir identificadores de Enumeração de Vulnerabilidade Comum (CVE) para vulnerabilidades de software em duas indústrias específicas — dispositivos médicos e sistemas de controle industrial — como parte de uma expansão planejada no número de organizações que gerenciam informações sobre vulnerabilidades, de acordo com a CISA e a empreiteira governamental MITRE.
A CISA, que informa e gerencia o risco de cibersegurança para os Estados Unidos, se tornará a chamada “Autoridade numépal CVE (CNA) de nível raiz”, gerenciando inicialmente sete organizações diferentes: Alias Robotics, ABB, CERT@VDE, Gallagher Group, Johnson Controls, Robert Bosch e Siemens. Cada uma das organizações emite CVEs para seus próprios produtos — ou, no caso de CERT@VDE, uma organização técnica alemã, para os parceiros do grupo no setor de automação — mas a CISA supervisionará o programa e expandirá a adesão entre essas indústrias.
A adição da CISA marca a primeira vez que a MITRE tem “uma organização de pares dentro do programa”, diz Chris Levendis, membro do conselho do Programa CVE e engenheiro principal de sistemas da MITRE.
“Eles terão as mesmas responsabilidades que o MITRE CNA”, diz ele. “Eles são responsáveis, por exemplo, pelo recrutamento e onboarding de novos CNAs dentro de seu escopo de ICS e dispositivos médicos, garantindo a atribuição de varejo de IDs CVE dentro de seu escopo, julgando disputas dentro de seu escopo, [e] participando de grupos de trabalho do programa … Eles são responsáveis por garantir a divulgação de vulnerabilidades coordenadas e responsáveis dentro de seu escopo.”
Tanto os grupos de nível raiz da CISA quanto do MITRE se reportarão ao conselho que gerencia o programa CVE, de acordo com o anúncio de 15 de setembro. Embora a Equipe de Resposta a Emergências de Computador do Japão (JP-CERT) seja atualmente designada como uma Autoridade de Numeração CVE (CNA) de nível raiz, o grupo atualmente não gerencia nenhuma outra subsidiária CNAs, de acordo com a MITRE.
“Continuar a incentivar a divulgação pública e transparente de sistemas de controle industrial e vulnerabilidades de dispositivos médicos é uma missão crítica para a CISA”, disse Bryan Ware, diretor assistente de segurança cibernética da CISA, em comunicado. “Essa expansão incentivará mais fornecedores a participar do programa CVE e permitirá que a CISA apoie melhor as partes interessadas à medida que se tornam mais engajadas.”
A adição da CISA continua os esforços da MITRE para aumentar a participação no programa CVE após um período problemático entre 2014 e 2016 que levou a colapsos de processos e atrasos crescentes na atribuição de identificadores CVE às vulnerabilidades. O programa CVE adotou uma abordagem de gestão federada que ampliou o número de CNAs de menos de duas dezenas em 2016 para 139 a partir de 16 de setembro. Em parte, o número de vulnerabilidades documentadas quase triplicou de menos de 6.500 em 2016 para mais de 17.300 no ano passado.
A MITRE continua trabalhando para expandir o programa, diz Levendis.
“O objetivo do programa CVE é dimensionar o programa através de sua estratégia de crescimento federado”, diz. “O programa CVE pretende adicionar mais CNAs raiz à medida que os participantes dispostos são identificados. Isso permite a governança federada e distribuída e o funcionamento do programa CVE por uma comunidade engajada de stakeholders.”
Só no último ano, o programa CVE adicionou como Autoridades numeradas da CVE uma variedade de empresas que gerenciam repositórios significativos de código. Tanto o GitHub quanto o Gitlab — que hospedam código para um grande número de projetos de código aberto e repositórios de software privado — tornaram-se CNAs este ano, por exemplo.
A adição de um CNA gerenciador para as indústrias de dispositivos médicos e sistemas de controle industrial (ICS) deve resultar em mais cobertura de software nesses setores e, como resultado, um maior número de vulnerabilidades, diz Chris Wysopal, fundador e diretor de tecnologia da empresa de segurança de aplicativos Veracode.
“Isso deve dar capacidade extra para nomear vulnerabilidades únicas e levar as informações ao fornecedor adequado para vulnerabilidades de ICS e dispositivos médicos”, diz ele. “Quando você olha para a lista CNA, não há muitos fornecedores de ICS e nem um único fornecedor de dispositivos médicos. À medida que o número de produtos de software individuais, pacotes de código aberto, IoT e dispositivos incorporados continua a se expandir rapidamente, isso deve ajudar mais vulnerabilidades a serem nomeadas e tratadas adequadamente.”
À medida que o conselho da CVE continua a expandir o número de CNAs e CNAs de nível raiz, o número total de vulnerabilidades provavelmente aumentará, diz Wysopal.
“O programa CVE foi concebido em um mundo diferente antes do SaaS, IoT, ICS conectado a TCP/IP, bibliotecas de código aberto e dispositivos médicos conectados à rede”, diz ele, acrescentando que, por exemplo, mais de 40% das vulnerabilidades em software de código aberto não tiveram um identificador CVE atribuído. “À medida que os recursos de teste se expandem para mais plataformas e dispositivos, sem dúvida haverá mais vulnerabilidades para rastrear e gerenciar. À medida que mais pessoas se concentram nesses dispositivos, os números vão subir.”
FONTE: DARK READING