Система CVE пошла ко дну? Европа запускает спасательную капсулу с названием EUVD
Новая база уязвимостей — запасной парашют для всей кибербезопасности.
Европейское агентство по кибербезопасности (ENISA) представило собственную базу уязвимостей EUVD (European Union Vulnerability Database). Созданная по образцу существующих отраслевых каталогов, она призвана обеспечить профессионалов надежными и практически применимыми сведениями о цифровых угрозах, способах их эксплуатации и методах защиты сетевой инфраструктуры.
"База уязвимостей ЕС знаменует важный шаг к укреплению безопасности и устойчивости европейского цифрового пространства", — заявила Хенна Вирккунен, исполнительный вице-президент Европейской комиссии по технологическому суверенитету, безопасности и демократии. По её словам, консолидация данных об уязвимостях на европейском рынке поможет повысить стандарты защиты и позволит государственным и частным организациям эффективнее оберегать общее киберпространство, действуя более автономно.
Всего несколько недель назад мировое сообщество едва не лишилось доступа к самому популярному каталогу уязвимостей — базе Common Vulnerabilities and Exposures (CVE) от организации MITRE. 16 апреля истекал срок государственного финансирования проекта в США, и лишь экстренное вмешательство Министерства внутренней безопасности, продлившего контракт в последний момент, предотвратило коллапс.
Финансовый кризис вызвал серьезное беспокойство в профессиональных кругах. Энтузиасты даже создали некоммерческий фонд CVE Foundation , готовый принять управление базой на себя в случае повторения подобной ситуации с государственным финансированием в будущем. Ведь на ней сейчас без преувеличений базируется киберзащита почти всего мира.
Джо Никастро, технический директор компании Legit Security, считает ускоренный запуск европейской базы закономерным на фоне недавних проблем с поддержкой MITRE CVE: "Этот шаг логичен не только с точки зрения суверенитета ЕС. Разумно снизить зависимость от единой системы, будущее которой кажется туманным".
На конференции RSA в Сан-Франциско глава Legit Security Никастро обсудил будущее проекта с операционным директором ENISA Хансом де Врисом. "Конечная цель — не заменить существующую систему, а наладить тесное сотрудничество между платформами", — поделился эксперт после встречи. И правда, каждую запись в европейской базе EUVD уже связали с соответствующим идентификатором CVE от MITRE. "Европейцы думают не только о политике, но и о практической пользе", — добавил он.
Новая система построена на принципах многостороннего сотрудничества. Она будет агрегировать информацию из различных источников: групп реагирования на компьютерные инциденты (CSIRTs), разработчиков программного обеспечения и существующих каталогов с открытым исходным кодом. Интерфейс включает три специализированные панели мониторинга, отображающие критические уязвимости, активно эксплуатируемые бреши и проблемы безопасности, координируемые на уровне Евросоюза.
Структура каждой записи в базе тщательно продумана. Пользователи получат исчерпывающее описание проблемы, детальный перечень затронутых продуктов и версий, профессиональную оценку серьезности угрозы и возможных векторов атаки. Есть также прямой доступ к существующим обновлениям безопасности, официальным рекомендациям компетентных органов и эффективным способам минимизации сопутствующих рисков.
Важно отметить, что у проекта широкая целевая аудитория. Собранные материалы принесут практическую пользу разработчикам сетевых систем и их клиентам, национальным регуляторам, участникам европейской сети CSIRTs, представителям частного сектора и исследователям в сфере информационной безопасности.