美国政府正采取措施整改备受困恼的 CVE 系统

据外媒报道,美国政府正在采取措施修复近年来一直受到各种问题困扰的公共漏洞和暴露(CVE)系统。

CVE 由 MITRE 公司在美国政府资助下创建于1999年,它是一个包含安全漏洞识别符(追踪号码)的数据库。自创建以来,CVE 系统被公共和私营企业采用,广泛应用于全球各地。大多数现代网络安全软件使用 CVE 编号来识别和跟踪利用某些软件 bug 的网络攻击。

CVE 数据库一直受到各种问题的困扰

但近年来,CVE 系统饱受压力。从2015年末起,大量安全研究员反馈称在获取 CVE 编号时延迟严重。他们中的一群人甚至联合起来创建了一个替代的漏洞数据库,称为分布式弱点归档(DWF)。

当时,MITER 表示 CVE 号码分配延迟是由于软件供应商数量的增加,和软件驱动的工业(SCADA)设备和物联网设备的激增造成的。这两个因素导致漏洞报告的数量大幅增加,CVE 员工无法及时跟进。2016年末的一份报告发现,MITER 的 CVE 未能向2015年发现的 6000 多个漏洞分配编号。

美国参议院于 2017 年开始调查 CVE 项目

在媒体的大肆报道后,美国参议院能源和商务委员会于2017年3月底启动了对 CVE 项目的调查。

参议院之所以有权调查 CVE 的运行情况,是因为 MITRE 从美国国土安全部的国家网络安全处获得运行 CVE 数据库的资金。

经过长达一年的调查后,能源和商务委员本周一致函国土安全部(DHS)和 MITRE 公司,概述了调查结果和拟议的行动方案,以解决 CVE 中发现的问题。

原因#1:资金波动和减少

委员会表示,DHS 资助金额的不一致和大幅减少是该项目走下坡路并大量积压的原因之一。信中写道:“2012-2015年,项目收到的资金同比减少了37%。DHS 和 MITER 文档显示,CVE 合同既不稳定,又容易出现计划和资金上的剧烈波动。”

为解决这一问题,委员会建议国土安全部官员将 CVE 的资金从基于合同的资助计划转移到 DHS 的自身预算内,作为 PPA(计划、项目或活动)资助项目,让 MITRE 专注于运营 CVE 数据库而不用总是担心资助问题。

原因#2:缺乏监督

其次,委员会还确定了第二个问题来源,即缺乏对 CVE 项目的监督。

“管理 CVE 计划的历史实践显然是不够的。除非取得重大进展,否则它们可能会再次引发对整个社会利益相关者产生直接负面影响的问题和挑战”,委员会建议 DHS 和 MITER 进行两年一次的审查,以确保该项目在未来几年的稳定性和有效性,帮助在渗入下游网络安全行业之前发现问题。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏微服务

支付系统架构

大部分公司,只要想赚钱,就得上支付系统,让用户或者客户有地方交钱。 当然,公司发展的不同阶段,对支付系统的定位和架构也不同。整体上来说,我们可以把一个公司的支付...

31210
来自专栏SDNLAB

美国和英国联合警报,俄罗斯正在针对互联网路由器进行网络攻击

16130
来自专栏安恒信息

研究发现安全修补漏洞速度远远慢于黑客利用速度

数据安全公司经过对数个软件漏洞的分析得出结论,尽管软件安全漏洞与缺陷已经被发现,但是企业对修补各种漏洞的反应过慢,为黑客利用这些漏洞进行攻击留下了...

28950
来自专栏译文

保护您的企业免受黑客攻击的5个技巧

对攻击和信息泄漏的报导成为世界各地的头条新闻,许多公司从中“学到”了他们的第一堂课:一次广为人知的信息泄漏将对他们的品牌声誉造成严重损害。在所受到的教训中,最大...

8800
来自专栏FreeBuf

13个有用的渗透测试资源博客

渗透测试是寻找能够用来攻击应用程序、网络和系统的漏洞的过程,其目的是检测会被黑客攻击的安全脆弱点。渗透测试可以检测如下内容:系统对攻击的反应,存在哪些会被攻击的...

373100
来自专栏FreeBuf

IBM X-Force发现新型银行木马IcedID

近日,IBM X-Force研究团队在一项针对最近一系列攻击美国金融机构的案例中发现了一款新型银行木马,并将其命名为“IcedID”,该银行木马目前似乎还正处于...

23750
来自专栏企鹅号快讯

机房传统UPS和模块化UPS有什么区别?

前言: 了解模块化UPS的人都知道,如今模块化UPS成为很多企业的新宠,市场份额节节攀高,机房UPS电源产品层出不穷,模块化UPS具有良好的可用性和稳定性,就算...

21670
来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(125)-MM-129消耗性材料采购

MM 129消费品采购 本业务情景处理采购过程中的采购订单创建活动。此外,它还介绍了采购订单审批、消费品收货、服务条目表审批以及按行项目收到发票等的附加处理步骤...

31740
来自专栏FreeBuf

2016年移动安全趋势及威胁预测

2015年已经过去,这一年间发生了很多令我们很震惊的事件,透过这些大事件和漏洞,我们可以预测一下2016年移动安全趋势和可能存在的安全威胁。 1. 恐怖威胁 ...

22750
来自专栏安恒信息

网络犯罪工具攻克汇丰银行的反木马技术

来自某地下技术论坛的犯罪分子们已经开发出一种新技术,能够避开Trusteer反木马机制的层层堵截,从而令全球各大金融机构——包括汇丰银行与Paypal——的储户...

28350

扫码关注云+社区

领取腾讯云代金券