آیا MITRE شکاف CVE را پر می کند؟
18 سال پس از راه اندازی شناسه مشترک آسیبپذیری ها و نقاط ضعف CVE، درباره کیفیت کار آن سوالات بسیاری پدید آمده است
18 سال پس از راه اندازی شناسه مشترک آسیبپذیری ها و نقاط ضعف CVE، درباره کیفیت کار آن سوالات بسیاری پدید آمده است. CVE یک دیکشنری از همه آسیب پذیری های شناخته شده در نرم افزارهای عرضه شده به صورت عمومی است که توسط سازمان غیردولتی MITRE تاسیس شده است. |
جاشوا کورمن یکی از بنیانگذاران I Am The Cavalry و مدیر برنامه سیاستگذاری سایبری شورای آتلانتیک، در کنفرانس SOURCE اظهار داشت CVE بسیار عقب مانده است. « پایگاه داده های تجاری حدود 80 درصد از آسیب پذیری های آشکار شده در هر جا را دنبال می کنند. CVE احتمالا 60 درصد از آن 80 درصد را پوشش می دهد […] بنابراین در هنگام یک تصمیم گیری مخاطره ای با 50 درصد نقطه کور مواجه اید که شکست بزرگی است […]» و این مساله با رشد انفجاری IoT تشدید می شود. |
برخی از اعضای هیئت مدیره CVE (شامل 25 عضو از بخش های مختلف جامعه امنیت) نیز انتقاداتی دارند. برایان مارتین عضو مستقل هیئت مدیره و نایب رئیس بخش آسیب پذیری Risk Based Security می گوید با توجه به پایگاه داده ای که شرکتش فراهم کرده، شکاف موجود در CVE آن چنان که کورمن تخمین می زند شدید نیست، اما با این وجود مهم است. |
این مساله توجه کنگره آمریکا را نیز برانگیخته است. رئیس کمیته انرژی و تجارت مجلس نمایندگان و سه زیرکیمته آن نامه هایی به تاریخ 30 مارس به MITRE فرستادند. دپارتمان امنیت ملی (DHS) که از تامین کنندگان مالی MITRE است، اظهار داشته که MITRE باید رشد آسیب پذیری ها را پیش بینی می کرده و همچنین از MITRE پرسیده که برای این مشکل چه اقدامی در نظر دارد. |
در واکنش به افرادی که معتقد اند هزاران آسیب پذیری بدون شناسه مانده اند، جنیفر لانگ سخنگوی MITRE می گوید برنامه CVE «به صد درصد آسیب پذیری های شناخته شده که ما از آنها مطلع هستیم و در تعریفمان از آسیب پذیری صدق می کنند شماره نسبت می دهد. همچنین تعداد نامشخصی از آسیبپذیریها در اکوسیستم سایبری وجود دارند که می توانستند شناسه بگیرند. چالش این است که ما نمی توانیم تعداد آن ها را بر حسب درصد مشخص کنیم چون آنها به CVE ارائه نشده اند» لانگ افزود «هیچ روش یکتا یا دارای پذیرش جهانی برای شمارش آسیب پذیری ها وجود ندارد و سازمان های مختلف به گونه های متفاوتی آنها را می شمارند». |
اما مدافعان این برنامه می گویند مشکلات از 15 ماه گذشته در حال بهبود اند. آنها تاکید می کنند که طی یک «سیستم فدرالی» به چندین سازمان جدید (در حال حاضر 62 سازمان) تحت عنوان مسئول شماره گذاری CVE (CNA) اجازه داده شده که آسیب پذیری های جدید را معرفی کرده و به آنها شناسه اختصاص دهند.
|