Sistemul global de alarmă al securității cibernetice se defectează

În fiecare zi, miliarde de oameni au încredere în sistemele digitale pentru a gestiona totul, de la comunicații la comerț și infrastructură critică. Însă sistemul global de avertizare timpurie care alertează echipele de securitate cu privire la defectele software periculoase prezintă lacune critice în acoperire - iar majoritatea utilizatorilor nu au nicio idee că viața lor digitală ar putea deveni mai vulnerabilă.

În ultimele optsprezece luni, doi piloni ai securității cibernetice globale au cochetat cu un aparent colaps. În februarie 2024, Baza de Date Națională a Vulnerabilităților (NVD), susținută de SUA - utilizată la nivel global pentru analiza gratuită a amenințărilor la adresa securității -oprit brusc publicând noi intrări, citând un criptic „schimbarea sprijinului interinstituțional„Apoi, în aprilie a acestui an, programul Common Vulnerabilities and Exposures (CVE), sistemul fundamental de numerotare pentru urmărirea defectelor software, părea să prezinte un risc similar: A scrisoare scursă avertizat asupra expirării iminente a contractului.

De atunci, specialiștii în securitate cibernetică au inundat canalele Discord și feed-urile LinkedIn cu postări de urgență și meme-uri cu „NVD” și „CVE” gravate pe pietre funerare. Vulnerabilitățile necorectate sunt... al doilea cel mai frecvent modul în care atacatorii cibernetici pătrund și au dus la întreruperi fatale ale spitalului şi defecțiuni ale infrastructurii criticeÎntr-o postare pe rețelele de socializareJen Easterly, expertă americană în securitate cibernetică, a declarat: „Pierderea [CVE] ar fi ca și cum am smulge catalogul de fișe din fiecare bibliotecă simultan – lăsându-i pe apărători să rezolve haosul în timp ce atacatorii profită din plin.” Dacă CVE-urile identifică fiecare vulnerabilitate ca pe o carte dintr-un catalog de fișe, intrările NVD oferă o analiză detaliată cu context privind severitatea, domeniul de aplicare și exploatabilitatea. 

În cele din urmă, Agenția pentru Securitatea Cibernetică și a Infrastructurii (CISA) finanțare extinsă pentru CVE încă un an, atribuind incidentul unei „probleme de administrare a contractelor”. Dar povestea NVD s-a dovedit a fi mai complicată. Organizația sa-mamă, Institutul Național de Standarde și Tehnologie (NIST), ar fi văzut reducerea bugetului său cu aproximativ 12% în 2024, cam în perioada în care CISA și-a retras $3,7 milioane în finanțarea anuală pentru NVD. La scurt timp după aceea, pe măsură ce restanțele creșteau, CISA a lansat propriul program „Vulnrichment” pentru a ajuta la abordarea lacunelor de analiză, promovând în același timp o abordare mai distribuită, care permite mai multor parteneri autorizați să publice date îmbogățite. 

„CISA evaluează continuu modul cel mai eficient de a aloca resurse limitate pentru a ajuta organizațiile să reducă riscul vulnerabilităților nou dezvăluite”, spune Sandy Radesky, directorul asociat al agenției pentru managementul vulnerabilităților. În loc să umple doar golul, ea subliniază faptul că Vulnrichment a fost creat pentru a oferi informații suplimentare unice, cum ar fi acțiuni recomandate pentru anumite părți interesate și pentru a „reduce dependența guvernului federal de rolul de unic furnizor de îmbogățire a vulnerabilităților”.

Între timp, NIST s-a grăbit să... angajați contractori a ajuta curățarea restanțelor. În ciuda unei reveniri la nivelurile de procesare de dinainte de criză, o creștere bruscă a vulnerabilităților dezvăluite recent către NVD a depășit aceste eforturi. În prezent, peste 25.000 de vulnerabilități așteptați procesarea – aproape De 10 ori mai mare decât maximul anterior în 2017, conform datelor companiei de software Anchore. Înainte de aceasta, NVD a ținut în mare măsură pasul cu publicațiile CVE, menținând o restanță minimă.

„Lucrurile au fost perturbatoare și am trecut prin perioade de schimbare în toate domeniile”, a declarat Matthew Scholl, pe atunci șeful diviziei de securitate informatică din cadrul Laboratorului de Tehnologia Informației al NIST, la o conferință... eveniment din industrie în aprilie. „Conducerea m-a asigurat pe mine și pe toată lumea că NVD este și va continua să fie o prioritate a misiunii NIST, atât în ceea ce privește resursele, cât și capacitățile.” Scholl a părăsit NIST în mai, după 20 de ani petrecuți la agenție, iar NIST a refuzat să comenteze cu privire la restanțe. 

Situația a determinat acum mai multe acțiuni guvernamentale, Departamentul Comerțului lansarea unui audit al NVD în luna mai și democrații din Cameră solicitând o o analiză mai amplă a ambelor programe în iunie. Însă daunele aduse încrederii transformă deja geopolitica și lanțurile de aprovizionare, pe măsură ce echipele de securitate se pregătesc pentru o nouă eră a riscurilor cibernetice. „A lăsat un gust amar, iar oamenii își dau seama că nu se pot baza pe asta”, spune Rose Gupta, care construiește și conduce programe de gestionare a vulnerabilităților la nivel de întreprindere. „Chiar dacă mâine pun totul la punct cu un buget mai mare, nu știu dacă acest lucru nu se va mai întâmpla. Așa că trebuie să mă asigur că am implementate și alte controale.”

Pe măsură ce aceste resurse publice se epuizează, organizațiile și guvernele se confruntă cu o slăbiciune critică a infrastructurii noastre digitale: serviciile esențiale de securitate cibernetică la nivel global depind de o rețea complexă de interese ale agențiilor americane și de finanțare guvernamentală, care poate fi redusă sau redirecționată în orice moment.

Avantaje și dezavantaje în domeniul securității

Ceea ce a început ca o serie de vulnerabilități software la începutul erei internetului s-a transformat într-o avalanșă de neoprit, iar bazele de date gratuite care le-au urmărit timp de decenii s-au chinuit să țină pasul. La începutul lunii iulie, baza de date CVE a trecut... peste 300.000 de vulnerabilități catalogateNumerele sar imprevizibil în fiecare an, uneori până la 10% sau mult mai mult. Chiar și înainte de ultima sa criză, NVD era cunoscut pentru publicarea întârziată a noilor analize de vulnerabilități, adesea în urma cu săptămâni sau luni a avertismentelor furnizorilor de software de securitate privată.

Gupta a observat cum organizațiile adoptă din ce în ce mai mult software comercial de gestionare a vulnerabilităților (VM) care include propriile servicii de informații privind amenințările. „Cu siguranță am devenit excesiv dependenți de instrumentele noastre VM”, remarcă ea, descriind dependența tot mai mare a echipelor de securitate de furnizori precum Qualys, Rapid7 și Tenable pentru a completa sau înlocui bazele de date publice nesigure. Aceste platforme își combină propria cercetare cu diverse surse de date pentru a crea scoruri de risc proprietare care ajută echipele să prioritizeze remedierile. Dar nu toate organizațiile își pot permite să umple golul NVD cu instrumente de securitate premium. „Companiile mai mici și startup-urile, deja dezavantajate, vor fi mai expuse riscurilor”, explică ea. 

Komal Rawat, un inginer de securitate din New Delhi, al cărui startup cloud aflat la mijlocul fazei sale are un buget limitat, descrie impactul în termeni duri: „Dacă NVD va dispărea, va exista o criză pe piață. Alte baze de date nu sunt atât de populare și, în măsura în care sunt adoptate, nu sunt gratuite. Dacă nu aveți date recente, sunteți expus atacatorilor care le au.”

Restanțele tot mai mari înseamnă că noile dispozitive ar putea fi mai predispuse la puncte slabe de vulnerabilitate - fie că este vorba de... Sunați la sonerie acasă sau o Sistemul „inteligent” de control al accesului al clădirii de birouriCel mai mare risc ar putea fi reprezentat de defectele de securitate „puncte cheie” care trec neobservate. „Există mii de vulnerabilități care nu vor afecta majoritatea întreprinderilor”, spune Gupta. „Acestea sunt cele pentru care nu primim analize, ceea ce ne-ar pune în pericol.”

NIST recunoaște că are o vizibilitate limitată asupra organizațiilor cele mai afectate de restanțe. „Nu urmărim ce industrii utilizează ce produse și, prin urmare, nu putem măsura impactul asupra anumitor industrii”, spune un purtător de cuvânt. În schimb, echipa prioritizează vulnerabilitățile pe baza standardelor CISA. listă de exploit-uri cunoscute și cele incluse în avizele furnizorilor, cum ar fi Microsoft Patch Tuesday.

Cea mai mare vulnerabilitate

Brian Martin a urmărit evoluția – și deteriorarea – acestui sistem din interior. Fost membru în consiliul de administrație al CVE și lider de proiect inițial în spatele bazei de date a vulnerabilităților Open Source, și-a construit o reputație combativă de-a lungul deceniilor ca istoric și practician de renume. Martin spune că proiectul său actual, VulnDB (parte a Flashpoint Security), depășește bazele de date oficiale pe care le-a supravegheat cândva. „Echipa noastră procesează mai multe vulnerabilități, într-un timp mult mai rapid și o facem la o fracțiune din cost”, spune el, referindu-se la zecile de milioane de contracte guvernamentale care susțin sistemul actual. 

Când am vorbit în luna mai, Martin a spus că baza sa de date conține peste 112.000 de vulnerabilități fără identificatori CVE – defecte de securitate care există la fața locului, dar rămân invizibile pentru organizațiile care se bazează exclusiv pe canale publice. „Dacă mi-ați da banii să-mi triplez echipa, numărul non-CVE ar fi în jur de 500.000”, a spus el.

În SUA, sarcinile oficiale de gestionare a vulnerabilităților sunt împărțite între o rețea de contractori, agenții și centre non-profit precum Mitre Corporation. Criticii precum Martin spun ceea ce creează potențial de redundanță, confuzie și ineficiență, cu niveluri de management mediu și relativ puțini experți în vulnerabilități. Alții apără valoarea acestei fragmentări. „Aceste programe se bazează pe sau se completează reciproc pentru a crea o comunitate mai cuprinzătoare, mai suportivă și mai diversă”, a declarat CISA într-un comunicat. „Acest lucru crește rezistența și utilitatea întregului ecosistem.”

Pe măsură ce conducerea americană se clatină, alte națiuni își intensifică eforturile. China operează acum mai multe baze de date privind vulnerabilitățile, unele surprinzător de robuste, dar afectate de posibilitatea ca acestea să fie supuse controlului statului. În luna mai, Uniunea Europeană a accelerat lansarea propriei baze de date, precum și un „descentralizat”CVE global„arhitectură”. După rețelele sociale și serviciile cloud, inteligența vulnerabilităților a devenit un alt front în competiția pentru independența tehnologică.” 

Asta îi lasă pe profesioniștii în domeniul securității să navigheze prin mai multe surse de date, potențial conflictuale. „Va fi o harababură, dar aș prefera să am prea multe informații decât deloc”, spune Gupta, descriind modul în care echipa ei monitorizează mai multe baze de date, în ciuda complexității suplimentare. 

Resetarea răspunderii pentru software

Pe măsură ce apărătorii se adaptează la peisajul fragmentat, industria tehnologică se confruntă cu o altă problemă: de ce furnizorii de software nu își asumă mai multă responsabilitate pentru protejarea clienților lor de problemele de securitate? Marii furnizori dezvăluie în mod curent - dar nu neapărat corectează - mii de noi vulnerabilități în fiecare an. O singură expunere ar putea bloca sistemele critice sau ar putea crește riscurile de fraudă și utilizare abuzivă a datelor. 

Timp de decenii, industria s-a ascuns în spatele unor scuturi legale. „Licențele shrink-wrap” obligau cândva consumatorii să renunțe în mare măsură la dreptul lor de a-i trage la răspundere pe furnizorii de software pentru defecte. Acordurile de licență pentru utilizatorul final (EULA) de astăzi, adesea livrate în ferestre pop-up de browser, au evoluat în documente de neînțeles de lungi. În noiembrie anul trecut, un proiect de laborator numit „EULAS al Disperării„a folosit lungimea” Război și pace (587.287 de cuvinte) pentru a măsura aceste contracte întinse. Cel mai mare vinovat? Twitter, cu litere mici echivalente cu 15,83 romane.

„Aceasta este o ficțiune juridică pe care am creat-o în jurul acestui întreg ecosistem și pur și simplu nu este sustenabilă”, spune Andrea Matwyshyn, consilier special american și profesor de drept tehnologic la Universitatea Penn State, unde conduce Laboratorul de Inovație Politică de Mâine. „Unii oameni subliniază faptul că software-ul poate conține un amestec de produse și servicii, creând fapte mai complexe. Dar, la fel ca în inginerie sau în litigiile financiare, chiar și cele mai complicate scenarii pot fi rezolvate cu asistența experților.”

Acest scut de răspundere începe în sfârșit să se spargă. În iulie 2024, o actualizare de securitate defectuoasă a popularului software de detectare a endpoint-urilor CrowdStrike a blocat milioane de computere Windows din întreaga lume și a cauzat întreruperi la toate, de la companii aeriene la spitale și sisteme de urgență 911. Incidentul a dus la daune estimate la miliarde de dolari, iar orașul... Portland, Oregon, a declarat chiar „stare de urgenț㔄Acum, companiile afectate, precum Delta Airlines, au au angajat avocați scumpi să urmărească daune majore — un semnal care deschide porțile către litigii.

În ciuda numărului tot mai mare de vulnerabilități, multe se încadrează în categorii consacrate, cum ar fi injecțiile SQL care interferează cu interogările bazei de date și depășirile de memorie tampon care permit executarea codului de la distanță. Matwyshyn pledează pentru o „listă de materiale software” obligatorie sau S-BOM - o listă de ingrediente care ar permite organizațiilor să înțeleagă ce componente și potențiale vulnerabilități există în lanțurile lor de aprovizionare cu software. Un raport recent a constatat... 30% de încălcări ale securității datelor proveneau din vulnerabilitățile furnizorilor terți de software sau ale furnizorilor de servicii cloud.

Ea adaugă: „Când nu poți face diferența între companiile care fac economii reduse și o companie care a investit cu adevărat în a face ceea ce trebuie pentru clienții săi, rezultă o piață în care toată lumea pierde.”

Conducerea CISA împărtășește această opinie, un purtător de cuvânt subliniind „principiile sale de securitate prin proiectare”, cum ar fi „punerea la dispoziție a caracteristicilor esențiale de securitate fără costuri suplimentare, eliminarea claselor de vulnerabilități și construirea de produse într-un mod care reduce povara securității cibernetice asupra clienților”.

Evitarea unei „epoci întunecate” digitale

Probabil nu va fi o surpriză faptul că practicienii apelează la inteligența artificială pentru a ajuta la umplerea golului, pregătindu-se în același timp pentru o nouă creștere a numărului de atacuri cibernetice ale agenților de inteligență artificialăCercetătorii în domeniul securității au a folosit un model OpenAI pentru a descoperi noi vulnerabilități „zero-day”Și ambele NVD şi CVE Echipele dezvoltă „instrumente bazate pe inteligență artificială” pentru a ajuta la eficientizarea colectării, identificării și procesării datelor. NIST afirmă că „până la 65% din timpul nostru de analiză a fost petrecut generând CPE-uri” - coduri de informații despre produse care identifică software-ul afectat. Dacă inteligența artificială poate rezolva chiar și o parte a acestui proces anevoios, ar putea accelera dramatic procesul de analiză.

Însă Martin avertizează împotriva optimismului în jurul inteligenței artificiale, menționând că tehnologia rămâne nedovedită și adesea plină de inexactități - care, în domeniul securității, pot fi fatale. „Mai degrabă decât inteligența artificială sau învățarea automată (ML), există modalități de a automatiza strategic anumite părți ale procesării acelor date de vulnerabilitate, asigurând în același timp o precizie de 99,5%”, spune el. 

IA nu reușește nici ea să abordeze provocări mai fundamentale în guvernanță. Fundația CVE, lansată în aprilie 2025 de membri separați ai consiliului de administrație, propune un model non-profit finanțat la nivel global similar cu cel al sistemului de adresare al internetului, care a trecut de la controlul guvernului SUA la guvernanță internațională. Alți lideri din domeniul securității fac presiuni pentru revitalizarea alternativelor open-source, cum ar fi Proiectul OSV al Google sau NVD++ (întreținute de VulnCheck), care sunt accesibile publicului, dar au în prezent resurse limitate.

Pe măsură ce aceste diverse eforturi de reformă prind avânt, lumea își dă seama că informațiile despre vulnerabilități - precum supravegherea bolilor sau siguranța aviației - necesită cooperare susținută și investiții publice. Fără acestea, va rămâne doar un mozaic de baze de date plătite, amenințând să lase expuse permanent toate organizațiile și națiunile, cu excepția celor mai bogate.

Matthew King este un jurnalist specializat în tehnologie și mediu, stabilit în New York. Anterior, a lucrat pentru firma de securitate cibernetică Tenable.

Lasă un comentariu

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

ro_RORomanian