Европейское сообщество по кибербезопасности приветствует запуск GCVE.eu — новой базы данных уязвимостей, призванной снизить зависимость от американских ресурсов. Эксперты обсуждают риски фрагментации информации и необходимость полной интероперабельности с CVE для обеспечения оперативного реагирования на угрозы.
Сообщество специалистов по кибербезопасности широко поддержало создание базы данных уязвимостей под эгидой ЕС как способ снизить зависимость от американских ресурсов.
Однако некоторые эксперты выразили опасения, что потенциальная фрагментация информации об угрозах может помешать оперативному выявлению и устранению уязвимостей.
База данных «Глобальная перечень уязвимостей кибербезопасности» (GCVE.eu) агрегирует уведомления об уязвимостях из более чем 25 открытых источников в единый ресурс для поиска. Записи нормализованы, структурированы и перекрёстно ссылаются на идентификаторы (например, идентификаторы CVE, GCVE, вендоров).
Платформа размещена в центре реагирования на инциденты в области компьютерной безопасности Люксембурга (CIRCL) в дата-центре в Люксембурге при софинансировании проекта ЕС «Федеративная европейская команда для анализа угроз» (FETTA).
Появление GCVE.eu последовало за финансовыми потрясениями, которые угрожали прекращением работы давно существующей программы «Общие уязвимости и подверженности» (CVE) в прошлом году. Программа CVE, которая лежит в основе американской Национальной базы данных уязвимостей (NVD), управляется корпорацией Mitre при финансировании кибернетического подразделения Министерства внутренней безопасности США.
Борьба с фрагментацией дефектов: сопоставление и интероперабельность
Джая Балу, соучредитель, операционный директор и технический директор стартапа по устранению уязвимостей AISLE, заявляет, что для жизнеспособности GCVE должна сделать приоритетом сопоставление и интероперабельность с записями CVE.
«Без обязательных к исполнению обязательств по интероперабельности «независимое распределение» становится вежливым способом сказать, что защитникам придётся проверять несколько несовместимых систем, чтобы понять, насколько они уязвимы», — говорит она.
Дэвид Линднер, технический директор поставщика решений по безопасности приложений Contrast Security, согласился, что GCVE несёт риск создания нового изолированного хранилища, которое будет зеркально отражать NVD, но не будет с ней согласовано.
«Для технического директора самая сложная задача — предотвратить коллизию идентификации, когда команды тратят время на сортировку одной и той же уязвимости под двумя разными флагами», — отмечает Линднер. «Чтобы избежать этой путаницы и обеспечить жизнеспособность проекта, GCVE должна отдать приоритет автоматическому стандарту перекрёстного сопоставления, который связывает эти базы данных в режиме реального времени».
Простое переключение с управляемой США NVD на европейскую GCVE не решает проблему зависимости, а лишь меняет местоположение этого изолированного хранилища, по мнению Линднера.
«Успех требует федеративного подхода, при котором вендоры и исследователи вносят вклад в единый уровень разведданных, гарантируя, что независимо от того, какая база данных заявляет запись, индустрия видит единую действенную истину, а не фрагментированный хаос», — утверждает Линднер.
Брайан Блейкли, технический директор Bellini Capital, предупреждает, что если GCVE предложит лишь дублирование без дифференциации, это создаст головную боль для специалистов по безопасности.
«Большинство команд безопасности и так борются с информационным шумом», — отмечает Блейкли. «Любая новая база данных действительно должна улучшать качество данных, своевременность или контекст, а не просто дублировать идентификаторы под другим флагом».
В GCVE встроена функция перекрёстных ссылок на уязвимости, использующая как автоматизированные, так и курируемые человеком механизмы — подход, который большинство экспертов, опрошенных CSO, сочли бы минимизирующим путаницу.
Збинек Сопух, технический директор поставщика решений для обеспечения безопасности данных Safetica, настроен более оптимистично, утверждая, что GCVE спроектирована так, чтобы быть обратно совместимой с CVE, поэтому «существующие данные сохраняются, а независимые записи допускаются».
«Серые зоны возникают в области области охвата, форматов идентификаторов и фрагментированного отслеживания, и GSVE может предпринять шаги для обеспечения того, чтобы критически важные данные передавались и получались», — говорит Сопух.
Скоординированное раскрытие информации
Ник Кейл, ведущий инженер и архитектор продуктов Cisco Systems, считает, что главная задача GCVE заключается в создании платформы, на которую сообщество безопасности сможет положиться для скоординированного раскрытия информации и устранения уязвимостей.
«Жизнеспособность гораздо больше зависит от управления, чем от самих данных», — говорит Кейл. «Это включает чёткие правила атрибуции, прозрачные процессы CNA, предсказуемое принятие решений и явное обязательство по синхронизации, а не фрагментации».
Система NVD, управляемая США, давно зарекомендовала себя, поэтому любая параллельная система должна либо чисто интегрироваться с существующей инфраструктурой, либо предлагать чёткие операционные преимущества, оправдывающие переход, по мнению Кейла.
«Исследователи будут тяготеть к той системе, которая обеспечивает самое быстрое и надёжное скоординированное раскрытие информации», — говорит Кейл. «Вендорам, тем временем, необходима уверенность в том, что записи об уязвимостях будут обрабатываться единообразно, независимо от их источника».
Представители проекта GCVE сообщили CSO, что CIRCL обладает необходимым опытом, структурами управления и поддержкой для обеспечения успеха базы данных.
«CIRCL управляет множеством сервисов и проектов с открытым исходным кодом на протяжении более 15 лет, при устойчивой финансовой и натуральной поддержке со стороны государственного и частного секторов, а также организаций ЕС и международных структур», — объясняют они. «GCVE.eu внедряет уровень управления, который обеспечивает эффективную работу, быструю доставку и, что самое важное, распределённое выделение идентификаторов».
GCVE.eu полностью функционирует уже несколько месяцев. «Мы уже предоставляем Vulnerability-Lookup как полноценное программное обеспечение с открытым исходным кодом и эталонную базу данных, которая облегчает работу многих организаций, занимающихся управлением уязвимостями», — сообщили GCVE в CSO.
Расширение прав и возможностей исследователей безопасности
Фабиан Гассер из консалтинговой компании в сфере кибербезопасности Cyway считает, что GCVE приносит пользу, устраняя единую точку отказа, присущую зависимости от системы CVE под руководством США, одновременно демократизируя публикацию данных об уязвимостях.
По словам Гассера, GCVE даёт «больше голоса независимым исследователям безопасности, которые теперь могут соглашаться или не соглашаться с самооценками вендоров».
Даниэль дос Сантос, старший директор и руководитель отдела исследований в компании Forescout, отмечает, что их исследование выявило значительное число уязвимостей без идентификаторов CVE и даже некоторые, которые используются злоумышленниками. GCVE имеет потенциал для более быстрой маркировки эксплуатируемых уязвимостей.
«База данных GCVE имеет преимущество в агрегации нескольких источников информации об уязвимостях и децентрализованной системе органов, ответственных за нумерацию», — говорит дос Сантос.
Резервирование
Доктор Ферхат Дикбийик, директор по исследованиям и разведке в фирме по оценке киберрисков Black Kite, считает запуск GCVE своевременным после проблем с финансированием в 2025 году.
«Годами мы рассматривали систему CVE под руководством США как неизменный хребет», — говорит доктор Дикбийик. «Когда этот хребет начал давать сбои из-за бюджетной политики, мир осознал, что опора на единую централизованную нить для отслеживания уязвимостей является стратегическим риском».
Локализованные базы данных уязвимостей уже существуют в других регионах, например, в Китае.
«Китайская платформа, как правило, быстрее индексирует уведомления от вендоров и предоставляет дополнительную информацию по сравнению с американскими аналогами», — отмечает Мартин Яртелиус, директор по продуктам ИИ в Outpost24.
По мнению доктора Дикбийика, чтобы GCVE перешла от регионального проекта к глобальному стандарту, необходимо сосредоточиться на интеграции с корпоративными инструментами безопасности.
«База данных ценна лишь настолько, насколько ценны инструменты, которые её используют», — говорит доктор Дикбийик. «Чтобы сделать этот проект жизнеспособным, мы должны увидеть, как поставщики решений по безопасности, провайдеры сканеров и платформы GRC рассматривают GCVE не как дополнительную функцию, а как основной источник данных».
По словам Кристал Морин, старшего стратега по кибербезопасности Sysdig, GCVE в меньшей степени нацелена на конкуренцию, а в большей — на обеспечение непрерывности, чтобы раскрытие информации об уязвимостях не зависело от единственной точки отказа.
«Успех базы данных ЕС будет измеряться тем, насколько она дополняет существующие усилия и способствует более быстрой сортировке, уменьшению отставания, приоритизации рисков и постоянному доступу к качественным данным для сообщества безопасности», — заключает Морин.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John Leyden