Feliz aniversário, CVE!

Views: 755
0 0
Read Time:2 Minute, 55 Second

Era outubro de 1999. Os Macs acabavam de receber Wi-Fi incorporado, o Napster havia lançado e o Yahoo havia comprado a Geocities por US $ 3,6 bilhões. Aconteceu outra coisa que escapou da maioria dos usuários de computador na época: o CVE postou seu primeiro bug . O sistema Common Vulnerabilities and Exposures (CVE) tem 20 anos nesta semana.

Criado pela organização sem fins lucrativos Mitre Corporation, que supervisiona vários programas do governo federal, o CVE fornece identificadores comuns para erros de segurança cibernética, facilitando o rastreamento e a correção.

Naquela época, a maioria das ferramentas de rastreamento de erros de segurança cibernética usava seus próprios bancos de dados e seus próprios IDs para rastreamento de erros. Isso dificultava a colaboração das pessoas nos relatórios e na correção. O CVE corrigiu isso usando seu sistema de numeração de bugs.

A lista do CVE não poderia ter chegado em um momento melhor – 1999 foi o ano em que as infecções por malware generalizadas realmente decolaram. O vírus CIH que apareceu no ano anterior reduziu sua primeira carga útil em 1999. Em março, o worm Melissa devastou as máquinas dos usuários do Office em todo o mundo, estabelecendo o recorde do malware mais poderoso até agora.

A lista começou pequena, mas cresceu para conter mais de 125.000 vulnerabilidades . O Banco de Dados Nacional de Vulnerabilidades (NVD) do NIST é baseado nele, e o Mitre também explora as vulnerabilidades para produzir uma lista de categorias mais amplas de fraqueza na segurança cibernética, conhecidas como Enumeração de Fraqueza Comum.Proteção poderosa e de nível empresarial em casa.Reproduzir vídeo Experimentar gratuitamente

O sucesso do CVE também apresenta novos desafios. Durante anos, a lista cresceu a um ritmo modesto, adicionando entre 4.000 e 8.000 novos bugs a cada ano. Então, em 2017, as coisas explodiram com um aumento de 128% em novos bugs. Uma taxa de crescimento anual de apenas 12% em 2018 pode ser mais modesta, mas também sugere um novo normal no qual os relatórios de bugs agora superam os 10.000 a cada ano.

Mitre se esforçou sob o peso desse trabalho extra. Mesmo antes do grande aumento de 2017, houve uma desaceleração relatada no processamento. O Congresso investigou e descobriu que um financiamento inconsistente estava atrapalhando o programa. Ele recomenda uma mudança na estrutura de financiamento, juntamente com análises bienais.

A Mitre respondeu expandindo suas operações para produzir uma abordagem de gerenciamento mais federada.

Quando alguém descobre um bug, ele pode solicitar à CVE Numbering Authority (CNA) que forneça um número de identificação. Em seguida, combina isso com uma descrição e quaisquer referências associadas para criar uma entrada CVE que é adicionada à lista. Mitre é o programa raiz CNA, mas existem outros, e expandiu essa comunidade para lidar com a crescente demanda. Em 2016, havia 22 CNAs. Hoje, existem 104, incluindo 5 CERTs, 2 programas de recompensas por bugs e 9 pesquisadores de segurança individuais.

À medida que o número e a diversidade de erros aumentam, uma maneira central e padrão de nomeá-los e rastreá-los será mais importante do que nunca. Já é bastante difícil enfrentar esse desafio, mesmo com uma lista central. Imagine como seriam as coisas se todos ainda estivéssemos usando nossos próprios sistemas de nomes e documentando bugs em centenas de silos individuais?

FONTE: nakedsecurity

POSTS RELACIONADOS