Was ist MITRE und das CVE-Programm?
MITRA (kein Akronym, wie manche vielleicht denken) fungiert als CVE-Editor und Primary CNA (CVE Numbering Authority) und verwaltet das CVE-Programm, einen weit verbreiteten Standard für die Verfolgung neu entdeckter Sicherheitslücken mithilfe von weltweit zugewiesenen CVE-Identifikatoren (CVE-IDs).
Die gemeinnützige Organisation spielt eine entscheidende Rolle, wenn es darum geht, Sicherheitsteams in die Lage zu versetzen, Informationen mithilfe von Hinweisen, Schwachstellendatenbanken und anderen Ressourcen unter Verwendung eines Standardreferenzsystems auszutauschen, um Verwirrung zu vermeiden und eine koordinierte Katalogisierung neuer Sicherheitslücken zu erleichtern.
Das CVE-Programm, eine seit 25 Jahren bestehende Initiative, ist ein globaler Standard für die Identifizierung, Definition und Katalogisierung öffentlich gemeldeter Sicherheitslücken mithilfe von CVE-IDs. Es ist ein wichtiges Tool für das Schwachstellenmanagement. Bisher wurden über 274.000 CVE-Einträge verzeichnet.
Wenn dieses Programm plötzlich beendet wird, beispielsweise weil keine CVEs mehr ausgestellt werden oder die Server und der CVE-API-Zugriff der CVE Numbering Authorities heruntergefahren werden, würde dies bedeuten, dass der Branche keine standardisierte Methode zur Verfolgung neuer Sicherheitsprobleme zur Verfügung steht.
Was ist mit der NVD?
Die Angst vor MITRE kommt etwas mehr als ein Jahr, nachdem Probleme mit dem NIST gemeldet wurden Nationale Vulnerabilitätsdatenbank (NVD), ein Archiv der US-Regierung für standardbasierte Schwachstellendaten, als es mehrere Wochen lang nicht aktualisiert wurde.
Während sich MITRE auf die Identifizierung und Katalogisierung öffentlich veröffentlichter CVEs konzentriert, reichert die NVD die CVE-Daten mit Patch-Verfügbarkeits- und Schweregradwerten an und liefert so weitere wichtige Informationen für eine eingehende Schwachstellenanalyse.
Sowohl das MITRE CVE-Programm als auch NIST NVD sind äußerst wertvolle Ressourcen für die Cybersicherheitsgemeinschaft, und beide haben Anzeichen von Instabilität gezeigt.
Was würde passieren, wenn MITRE oder NVD gekündigt würden?
Wenn das CVE-Programm beendet würde, gäbe es keinen globalen Standard mehr für die Benennung und Nummerierung neu entdeckter Sicherheitslücken, was die Fähigkeit von Sicherheitsforschern und Softwareanbietern, diese Bedrohungen schnell zu identifizieren und zu bekämpfen, erheblich einschränken würde. Ebenso könnte ein Rückstau an CVEs im NVD, die auf ihre Erweiterung warten, dazu führen, dass wichtige Informationen über Sicherheitslücken, wie z. B. deren Schweregrad und potenzielle Auswirkungen, den Benutzern nicht ohne Weiteres zur Verfügung stehen.
Da viele kommerzielle Tools für das Schwachstellenmanagement auch auf das CVE-Programm und die NVD als Datenquellen zurückgreifen, würde dies bedeuten, dass ihre Fähigkeit, Schwachstellen zu erkennen und zu priorisieren, beeinträchtigt werden könnte.
Find and fix the security risks that pose the biggest threat to your business.
Problembehebung dreimal schneller mit Mondoo Unified Exposure Management
Zukunftssicher: Zusammenarbeit mit der Industrie ist erforderlich
Diese Probleme unterstreichen die Notwendigkeit verstärkter Investitionen in die Cybersicherheitsinfrastruktur und die Bedeutung der Zusammenarbeit zwischen Regierungsbehörden, Industriepartnern und der Open-Source-Community, um die kontinuierliche Wirksamkeit von Schwachstellenmanagementprogrammen sicherzustellen. Mit der Zunahme von Technologien und Diensten wird es immer wichtiger, bei der Offenlegung von Sicherheitslücken schnell und genau vorzugehen, um die Angriffsfläche schnell zu reduzieren.
Als Open-Source-Mitwirkender engagiert sich Mondoo dafür, Initiativen, Analysen und Lösungen von Sicherheitslücken voranzutreiben. Wir haben uns sowohl für Richtlinien als auch für Code und unseren Open-Source-Sicherheitsscanner eingesetzt cnspec, das den Zugang zu automatisierter Schwachstellenerkennung demokratisiert und Unternehmen hilft, diese schnell zu beheben. Wir werden eine aktive Rolle bei den Bemühungen der Gemeinschaft zur Dezentralisierung der globalen Sicherheitsstandards und der Berichterstattung übernehmen.

Wäre Mondoo von einem MITRE- oder NVD-Shutdown betroffen?
Mondoo stützt sich bei Erkennungen nicht nur auf NVD- oder MITRE-Daten. Stattdessen beziehen wir die Sicherheitslücken und Hinweise von den Anbietern selbst. Das bedeutet, dass unsere Kunden auch dann, wenn MITRE und NVD abgeschaltet würden, weiterhin Sicherheitsupdates und Sicherheitslücken über Mondoo erhalten und dabei unsere anderen Quellen und Hinweise nutzen. Darüber hinaus bereichern wir diese Erkenntnisse um den Reifegrad von Exploits, Exploit-Prediction (EPSS) und bekannte Exploits, um wichtige Erkenntnisse präzise zu priorisieren.

Über Mondoo
Mondou identifiziert, priorisiert und behebt Schwachstellen und Fehlkonfigurationen in Ihrer gesamten IT-Infrastruktur und SDLC über eine einzige Oberfläche — für On-Premise, Cloud, SaaS und Endgeräte. Im Gegensatz zu isolierten Ansätzen ermöglicht Ihnen Mondoo, Ihre dringendsten Risiken schnell zu verstehen und schnelle Abhilfemaßnahmen einzuleiten, wodurch optimierte Sicherheitsmaßnahmen gewährleistet und die Sicherheitslage erheblich verbessert werden.
Um mehr über die Mondoo-Plattform zu erfahren, klicken Sie bitte kontaktiere uns.