美国网络防御机构正为其全球采用的漏洞跟踪系统公布新愿景,但安全分析师警告称,资金威胁及联邦机构内部动荡可能导致改革在落地前夭折。
美国网络安全与基础设施安全局(CISA)为通用漏洞披露(CVE)计划制定的新愿景,标志着该机构所称的从计划“增长时代”向“质量时代”的转变。该战略概述了通过扩大社区伙伴关系、与行业和国际政府合作标准化漏洞数据、通过联邦机制扩大信息丰富度、提升授权数据发布者能力等方式,增强信任度、响应速度和数据质量的计划。
此次 announcement 距该计划因特朗普政府决定撤资而险些关闭仅过去数月——该决定在生效前数小时被逆转(参见:CVE计划资金告急引发网络安全警报)。
CISA自身正遭受大幅预算削减和约三分之一员工流失的冲击,专家对该机构能否实现雄心勃勃的路线图表示怀疑。
CVE计划始于1999年,标准化了网络防御者、安全官员和关键基础设施运营商对网络安全漏洞的分类和引用方式。该计划由国土安全部资助、Mitre公司维护,塑造了组织缓解已知漏洞的模式。
尽管CVE计划被广泛采用,但批评声从未间断,包括对其可靠性的质疑、对CVE数量逐年激增导致防御者难以准确评估风险的担忧。该计划完全依赖国土安全部 funding 的问题在4月险些停摆事件中凸显。近期争议还包括董事会就拟议监督改革的内斗,以及研究人员对漏洞数据延迟和不一致的反复抱怨。
“行动胜于雄辩,因此CISA和CVE基金会的下一步举措对成功至关重要,”ProCircular安全公司首席技术官Brandon Potter表示,“不幸的是,当前最大的影响来自对‘下一步会发生什么’的不确定性。”
CISA表示,在计划最初的“增长时代”,其核心成就是建立了由460多个CVE编号机构(CNA) 组成的全球网络,使网络安全社区能够识别、定义和编目数十万漏洞。
CISA称,“质量时代”将包括多项改进:更完整的记录(含CVSS评分和对常见弱点枚举CWE的引用)、为编号机构优先提供自动化和在线服务,以及确保网络安全社区全面参与咨询委员会。
战略强调,CVE计划的价值源于其政府背景。私有化CVE“将削弱其作为公共产品的价值”,因为私营部门所有者可能在披露漏洞与“避免潜在经济或声誉损害”之间陷入利益冲突。
尽管如此,战略仍提到CISA正在评估“多元化 funding 潜在机制”,并承诺稍后更新。
漏洞赏金平台Bugcrowd的首席信息安全官Trey Ford告诉《信息安全媒体集团》,私营行业尤其“渴望了解编号机构基础设施强化的投资路线图和市场落地时间表”。
“CVE计划有巨大改进空间,”Ford表示,“我们希望看到这些投资与私营部门的努力相结合——他们正致力于处理和验证漏洞提交,并最终提升未来CVE记录的质量。”
CISA新任网络安全执行助理主任Nick Andersen称,该机构正“抓住机遇现代化CVE计划”,并将其“巩固为全球网络安全防御的基石”。他在声明中表示,CISA旨在通过包含社区反馈和全球伙伴参与的现代化框架,“提升漏洞数据质量和全球网络安全韧性”。
分析师对ISMG表示,尽管CISA应继续主导该计划,但必须兑现与私营部门广泛合作的承诺,并设定明确预期。
发表评论
您还未登录,请先登录。
登录