美国政府正采取措施整改备受困恼的 CVE 系统

据外媒报道,美国政府正在采取措施修复近年来一直受到各种问题困扰的公共漏洞和暴露(CVE)系统。

CVE 由 MITRE 公司在美国政府资助下创建于1999年,它是一个包含安全漏洞识别符(追踪号码)的数据库。自创建以来,CVE 系统被公共和私营企业采用,广泛应用于全球各地。大多数现代网络安全软件使用 CVE 编号来识别和跟踪利用某些软件 bug 的网络攻击。

CVE 数据库一直受到各种问题的困扰

但近年来,CVE 系统饱受压力。从2015年末起,大量安全研究员反馈称在获取 CVE 编号时延迟严重。他们中的一群人甚至联合起来创建了一个替代的漏洞数据库,称为分布式弱点归档(DWF)。

当时,MITER 表示 CVE 号码分配延迟是由于软件供应商数量的增加,和软件驱动的工业(SCADA)设备和物联网设备的激增造成的。这两个因素导致漏洞报告的数量大幅增加,CVE 员工无法及时跟进。2016年末的一份报告发现,MITER 的 CVE 未能向2015年发现的 6000 多个漏洞分配编号。

美国参议院于 2017 年开始调查 CVE 项目

在媒体的大肆报道后,美国参议院能源和商务委员会于2017年3月底启动了对 CVE 项目的调查。

参议院之所以有权调查 CVE 的运行情况,是因为 MITRE 从美国国土安全部的国家网络安全处获得运行 CVE 数据库的资金。

经过长达一年的调查后,能源和商务委员本周一致函国土安全部(DHS)和 MITRE 公司,概述了调查结果和拟议的行动方案,以解决 CVE 中发现的问题。

原因#1:资金波动和减少

委员会表示,DHS 资助金额的不一致和大幅减少是该项目走下坡路并大量积压的原因之一。信中写道:“2012-2015年,项目收到的资金同比减少了37%。DHS 和 MITER 文档显示,CVE 合同既不稳定,又容易出现计划和资金上的剧烈波动。”

为解决这一问题,委员会建议国土安全部官员将 CVE 的资金从基于合同的资助计划转移到 DHS 的自身预算内,作为 PPA(计划、项目或活动)资助项目,让 MITRE 专注于运营 CVE 数据库而不用总是担心资助问题。

原因#2:缺乏监督

其次,委员会还确定了第二个问题来源,即缺乏对 CVE 项目的监督。

“管理 CVE 计划的历史实践显然是不够的。除非取得重大进展,否则它们可能会再次引发对整个社会利益相关者产生直接负面影响的问题和挑战”,委员会建议 DHS 和 MITER 进行两年一次的审查,以确保该项目在未来几年的稳定性和有效性,帮助在渗入下游网络安全行业之前发现问题。

版权声明

本文仅代表作者观点,不代表黑白网立场。 如文章侵犯了您的权利,请通过邮箱联系我们删除 E-Mail:server@heibai.org 黑白网官群:238921584

原文链接:http://www.heibai.org/post/629.html

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

研究发现安全修补漏洞速度远远慢于黑客利用速度

数据安全公司经过对数个软件漏洞的分析得出结论,尽管软件安全漏洞与缺陷已经被发现,但是企业对修补各种漏洞的反应过慢,为黑客利用这些漏洞进行攻击留下了...

28950
来自专栏FreeBuf

13个有用的渗透测试资源博客

渗透测试是寻找能够用来攻击应用程序、网络和系统的漏洞的过程,其目的是检测会被黑客攻击的安全脆弱点。渗透测试可以检测如下内容:系统对攻击的反应,存在哪些会被攻击的...

372100

网络分段如何网络系统帮助企业家应对勒索软件风险

几个月前,我们的孩子所在的南卡罗来纳州最大的学区之一的,网络系统受到了携带病毒的勒索软件的攻击,这个“ 勒索软件”是一种恶意软件,攻击者通过加密获取访问权限的数...

8900
来自专栏腾讯数据中心

20KV市电环境下数据中心供电架构初探

大型数据中心用电负荷大、功率密度高,采用20kV配电电压可以提高供电能力、减少土地占用量、减少建设投资、降低损耗和提高电压质量,还可以简化电压等级。电压由10K...

46950
来自专栏SAP最佳业务实践

SAP最佳业务实践:SD–回扣处理(926)-1业务概览

用途 回扣(协议)是一种向客户回溯付款的特殊折扣。 此折扣基于预定义时间期间的客户销售量,回扣将由客户服务人员通过创建贷项凭单进行结算,此贷项凭单将按照先...

34840
来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(125)-MM-129消耗性材料采购

MM 129消费品采购 本业务情景处理采购过程中的采购订单创建活动。此外,它还介绍了采购订单审批、消费品收货、服务条目表审批以及按行项目收到发票等的附加处理步骤...

31740
来自专栏黑白安全

美国政府正采取措施整改备受困恼的 CVE 系统

据外媒报道,美国政府正在采取措施修复近年来一直受到各种问题困扰的公共漏洞和暴露(CVE)系统。

6810
来自专栏FreeBuf

耸人听闻还是真相?简要分析浑水资本发布的圣犹达公司心脏医疗设备安全报告

知名做空机构浑水资本(Muddy Waters Capital)在MedSec的协助研究下,发布报告称,著名医疗器械公司圣犹达(St. Jude Medical...

21070
来自专栏安恒信息

升级通报:E安全App重磅更新

近日E安全App迎来了重大稳定版升级,安恒信息提醒您以下四方面敬请留意: 1、新增推送提醒功能,重大信息安全事件、安全课程发布您将收到提醒; 2、响应速度和性能...

33860
来自专栏译文

保护您的企业免受黑客攻击的5个技巧

对攻击和信息泄漏的报导成为世界各地的头条新闻,许多公司从中“学到”了他们的第一堂课:一次广为人知的信息泄漏将对他们的品牌声誉造成严重损害。在所受到的教训中,最大...

8800

扫码关注云+社区

领取腾讯云代金券