Selama beberapa jam minggu ini, masa depan Program Kerentanan dan Eksposur Umum (CVE) – database yang digunakan oleh perusahaan dan pemerintah untuk mempelajari tentang lubang keamanan baru dalam perangkat lunak yang mereka gunakan – tampak tidak pasti.
Ketidakpastian ini, yang disebabkan oleh selang yang tertunda dalam pendanaan, meningkatkan momok bahwa operator infrastruktur kritis yang bergantung pada database akan mengalami penurunan layanan penting, meninggalkan bank, pemerintah, operator jaringan listrik, penyedia layanan internet dan lainnya tidak yakin akan keamanan sistem mereka.
MITER, perusahaan yang mengoperasikan CVE, mengatakan kepada anggota dewan CVE dalam sebuah surat pada hari Selasa bahwa dana tersebut dipertanyakan. Pendanaan itu berasal dari Cybersecurity and Infrastructure Security Agency (CISA), Biro Departemen Keamanan Dalam Negeri.
“(Pada hari Rabu,) jalur kontrak saat ini bagi Miteri untuk mengembangkan, mengoperasikan, dan memodernisasi CVE dan beberapa program terkait lainnya (…) akan kedaluwarsa,” menurut salinan surat dari Mitre yang ditinjau oleh bankir Amerika. “Pemerintah terus melakukan upaya besar untuk melanjutkan peran Miteri dalam mendukung program.”
MITER melanjutkan untuk memberi tahu anggota dewan bahwa, jika pendanaan akan kedaluwarsa, itu akan mengarah pada “penurunan database dan penasihat kerentanan nasional, vendor alat, operasi respons insiden, dan segala macam infrastruktur kritis.”
Pada akhirnya, CISA memilih untuk memperpanjang dana CVE selama 11 bulan. Keputusan datang malam sebelum dana akan berakhir.
“Program CVE sangat berharga bagi komunitas cyber dan prioritas CISA,” kata juru bicara CISA kepada bankir Amerika. “(Selasa) Malam, CISA mengeksekusi periode opsi pada kontrak untuk memastikan tidak akan ada selang dalam layanan CVE kritis. Kami menghargai kesabaran mitra dan pemangku kepentingan kami.”
Juru bicara itu tidak menjelaskan mengapa dana untuk CVE telah dipertanyakan untuk memulai atau berapa banyak pendanaan CISA, saat ini sponsor CVE, disediakan untuk program tersebut.
Hanya beberapa ahli yang melihat krisis pendanaan datang
Krisis itu tidak sepenuhnya mengejutkan. Bahkan, beberapa anggota dewan CVE telah berkumpul bersama beberapa bulan sebelum memulai upaya untuk mengubah kebutuhan dana untuk CVE dari pemerintah AS.
Pada hari Rabu, sekelompok “anggota dewan CVE yang lama dan aktif,” yang telah “menghabiskan tahun lalu mengembangkan strategi untuk transisi CVE ke yayasan nirlaba yang berdedikasi,” mengumumkan pembentukan CVE Foundation, menurut siaran pers dari grup.
“Sejak awal, program CVE telah beroperasi sebagai inisiatif yang didanai pemerintah AS, dengan pengawasan dan manajemen yang diberikan berdasarkan kontrak,” kata pernyataan dari CVE Foundation. “Sementara struktur ini telah mendukung pertumbuhan program, ia juga telah menimbulkan kekhawatiran yang sudah berlangsung lama di antara anggota Dewan CVE tentang keberlanjutan dan netralitas sumber daya yang diandalkan secara global yang terkait dengan sponsor pemerintah tunggal.”
Kelompok ini membingkai pengumuman sebagai “langkah utama menuju menghilangkan satu titik kegagalan dalam ekosistem manajemen kerentanan dan memastikan program CVE tetap merupakan inisiatif yang didorong oleh masyarakat secara global,” menurut siaran pers yayasan.
Bank Back Cve Continuation
Operasi CVE yang berkelanjutan didukung oleh lebih dari sekadar anggota dewan CVE.
Pusat Berbagi Informasi dan Analisis Layanan Keuangan (FS-ISAC), sebuah organisasi nirlaba yang berbagi cybersecurity intel di antara lembaga keuangan secara global, mengatakan pihaknya “berkomitmen untuk bekerja di seluruh anggota dan komunitas mitra” untuk memastikan operasi CVE yang berkelanjutan, seorang juru bicara FS-ISAC mengatakan kepada bankir Amerika.
Juru bicara FS-ISAC mengatakan CVE “sangat penting untuk misi kami untuk memajukan keamanan siber dan ketahanan sistem keuangan global,” dan program “memastikan bahwa organisasi di seluruh sektor publik dan swasta memahami kerentanan yang muncul dan mampu memprioritaskan mitigasi sesuai dengan kebutuhan masing-masing.”
Seberapa penting CVE?
CVE adalah gudang utama kerentanan dalam perangkat lunak yang umum digunakan. Sebagian besar, jika sepotong perangkat lunak memiliki kerentanan keamanan, dan kerentanan itu adalah informasi publik, itu muncul di CVE.
Pembuat perangkat lunak dan peneliti keamanan dapat mencantumkan kerentanan di CVE terlepas dari popularitas perangkat lunak yang terkait dengannya. Misalnya, kerentanan laporan diri Google dan Apple dalam produk mereka; Kontributor proyek open source kecil juga melaporkan kerentanan ke CVE; dan peneliti cybersecurity hobi yang menyelidiki produk-produk berpemilik dari perusahaan yang sekarang tidak berfungsi dapat menempatkan pekerjaan mereka di CVE, juga.
Perusahaan dan pemerintah di seluruh dunia mengintegrasikan CVE ke dalam program manajemen tambalan mereka. Program -program ini memastikan bahwa organisasi memperbarui perangkat lunak mereka ketika kerentanan ditemukan, untuk memastikan mereka tidak terpapar kelemahan yang diketahui publik.
CVE sangat penting untuk kepatuhan
Bank harus memelihara program manajemen tambalan yang memastikan mereka dengan waspada mengadopsi tambalan keamanan ke perangkat lunak komersial yang mereka andalkan. Program -program ini hampir secara universal bergantung pada CVE. Tahun lalu, Federal Deposit Insurance Corporation
Sementara panduan FDIC tidak secara khusus menginstruksikan bank untuk menggunakan CVE untuk mempelajari tentang tambalan baru, itu merujuk pada sumber pihak ketiga untuk belajar tentang tambalan keamanan baru, khususnya penamaan sebagai sumber potensial mitra dan
hanwhalife
hanwha
asuransi terbaik
asuransi terpercaya
asuransi tabungan
hanwhalife
hanwha
asuransi terbaik
asuransi terpercaya
asuransi tabungan
hanwhalife
hanwha
berita hanwha
berita hanwhalife
berita asuransi terbaik
berita asuransi terpercaya
berita asuransi tabungan
informasi asuransi terbaik
informasi asuransi terpercaya
informasi asuransi hanwhalife
