MITRE 对 CVE 覆盖范围的失误发出警告

快速阅读: 《计算机周刊》消息，MITRE运营的CVE漏洞系统面临合约到期无新方案的困境，可能影响全球网络安全。专家呼吁社区协作，VulnCheck已预留2025年CVE编号以备不时之需，历史数据将继续在GitHub开放。

网络安全领域的重要资产之一，美国非营利机构麻省理工学院技术研究中心（MITRE）运营的通用漏洞披露（CVE）系统似乎正面临困境。据透露，MITRE继续代表美国政府运行该项目的合同路径将于4月16日星期三到期，且没有新的替代方案准备就绪。

在今天分发给MITRE董事会成员的一封信中，计算机周刊审查到的一份副本显示，MITRE国土安全中心（CSH）副总裁兼主任优素福·巴苏姆写道，美国政府正在作出重大努力以延续MITRE在CVE项目中的长期角色。巴苏姆写道：“如果服务中断发生，我们预计CVE将受到多重影响，包括国家漏洞数据库和公告的退化、工具供应商、事件响应操作以及各种关键基础设施。”他补充道：“MITRE将继续致力于将CVE作为全球资源。感谢您作为CVE委员会成员的持续合作。”

MITRE的一位发言人向计算机周刊证实了巴苏姆声明的真实性。他们将CVE项目描述为网络行业的基石，支撑着价值接近400亿美元（约合300亿英镑）的全球产业。

运行了25年的CVE系统旨在作为已披露的网络安全漏洞的参考和存储库，自上世纪90年代末由国土安全部国家网络安全部门资助以来一直由MITRE维护。多年来，它对安全研究领域产生了巨大的影响，为网络防御者提供了有关新兴漏洞和威胁的数据，其中一些漏洞与有史以来最大的网络事件相关联——例如“想哭”（WannaCry）、“太阳风暴”（SolarWinds Sunburst）、“日志4j”（Log4j）和“移动工具”（MOVEit）等。

其持续的工作因每月第二个星期二微软发布的补丁星期二更新中发布的大量CVE而广为人知，这些CVE通过独特的标识符（由字母CVE、年份和数字代码组成）得以识别。如果该系统不得不暂时停止运作，甚至只是等待合同续签，整个技术行业都将深切感受到其影响。

除了补丁星期二之外，目前发现和披露的各种类型CVE的数量正处于历史高位，并且没有放缓的迹象。CVE系统的中断将是金融动机的网络犯罪分子和民族国家行为体的一大福音，他们能够迅速利用任何停机时间来寻找、开发并武器化新漏洞，而安全专业人士则会在黑暗中摸索前行。

正值美国政府进行深刻而痛苦的削减之际，这种潜在风险对美国及其盟友，特别是来自中国和俄罗斯等国的国家安全态势构成了极其严重的威胁——这一事实并未被许多安全社区成员忽视，他们在4月15日晚上纷纷通过社交媒体传播这一消息。

一位观察人士在领英上撰文推测，MITRE合同的废止是经过精心设计的，并指出与网络安全和基础设施安全局（CISA）和国家标准与技术研究院（NIST）等机构的削减相结合，美国正在核心安全机构中应对重大的持续性网络危机。

填补空白

但凭借一贯的社区精神，许多网络安全专业人员已经挺身而出，应对迫在眉睫的关闭。VulnCheck的安全研究员帕特里克·加里蒂表示：“我们想借此机会感谢MITRE几十年来对CVE项目的贡献。”

鉴于当前关于MITRE或CVE项目中哪些服务可能受到影响的不确定性，VulnCheck主动预留了2025年的1000个CVE。加里蒂补充说，只要可以做到，VulnCheck的报告服务将继续分配CVE编号。

MITRE还表示，历史CVE记录将继续在GitHub上提供。

了解更多关于MITRE的工作：

MITRE与行业的合作希望通过可信贡献者接收、保护并匿名化的AI网络安全事件数据来加强AI防御。

MITRE攻击框架乍一看可能令人望而生畏，但它是一个关键工具，帮助安全运营中心（SOC）团队进行威胁建模。了解如何开始。

FDA MITRE手册强调了关键的医疗器械安全考虑因素以及一个资源附录，以帮助医疗机构导航事件准备和响应。

(以上内容均由Ai生成)