Elektrik mühendisliği ve BT VDE Derneği'nin güvenliği ve bilgisayarı için acil durum ekibi birkaç gün boyunca uluslararası alanda daha önemli bir rol oynadı. Sanayi Derneği Cuma günü yaptığı açıklamada, CERT@VDE bilgisayarının acil durumlarına yanıt ekibinin, küçük ve orta ölçekli işletmelere özellikle dikkat ederek endüstriyel otomasyon alanındaki BT güvenlik boşluklarına karşı mücadelede merkezi bir nokta haline geldiğini açıkladı. Bu nedenle bu sektördeki güvenlik sorunlarını koordine etme çalışmaları önemlidir.
Endüstriyel ürünlerdeki güvenlik boşlukları, elektrik ve su temini, hastaneler veya büyük üretim tesisleri açısından varoluşsal tehditlere neden olmuştur. Saldırganlar bu tür zayıflıklardan yararlanırsa, insanlar, çevre ve toplum için çok ve ciddi sonuçları olabilir. Bundan kaçınmak için, bu boşluklar tüm dünyada bilinmeli ve çözülmelidir.
Zayıflık veritabanı
25 yıl önce ABD'ye tanıtılan CVE sistemi (güvenlik açığı ve ortak sergiler) var. Bilinen her güvenlik boşluğunun kendi net numarasına sahip olduğu büyük bir veritabanı gibi davranır. Bu, sorunların çözülmesinde yanlış anlamalardan kaçınmaya yardımcı olmalıdır, çünkü herkes hangi zayıf noktanın kastedildiğini tam olarak bilir. CVE sistemi, 1999'dan beri uzmanlara ve BT güvenlik şirketlerine yardımcı olan önemli bir küresel standart olmuştur.
Ancak herkes sadece kaosdan kaçınmak için kimlik cve atayamamalıdır. Sadece bazı kuruluşlar ve şirketler haklı. “CVE (CNA) numaralandırma otoritesi” olarak bilinir. Bu çeşitli ürünler ve alanlar için bölünür. CERT@VDE, 2020'den beri ortakları için böyle bir CNA idi. Merkez, ABD Standartlaştırma Otoritesinden gelen sınavların bir parçası olarak CVE için yüksek kaliteli bir standart geliştirdi. NIST ayrıca, CVE sistemini teknik detaylar ve incelemelerle entegre eden bir durum veritabanı olan NVD'yi (Ulusal Güvenlik Veritabanı) yönetir.
Cert@vde maksimum pozisyon alır
Normal CNA üzerinden çok denilen kök CNA vardır. Bunlar, alt tedarikçilerin çalışmalarını koordine eden ve izleyen kontrol merkezleridir. Bu radikal CNA'lar zaten MITER, ABD Bilgisayar Güvenliği Otoritesi CISA, Google ve ABD'den Red Hat, Japon JPCCER/CC, İspanyol İncibe Sertifikası ve Fransız Grubu Thales gibi büyük isimler içeriyor. CERT@VDE, Temmuz ortasından bu yana ilk Alman kök-CNA olarak hizmet verildi.
Bu yeni işlevde, yapı acil durum merkezi VDE'ye göre, Almanya'daki ortakları için CVE sistemini denetleyecek ve koordine edecek. Özellikle bu, CERT ekibinin ortaklarının çemberinden yeni CNA'yı aradığı, seçtiği ve ele aldığı anlamına gelir. Çalışanlar bu vakaları eğitiyor ve başlangıçta onlara yardımcı oluyorlar. Ayrıca herkesin CVE kurallarına ve süreçlerine bağlı olmasını sağlamalıdır. Başka bir görev, CVE ID'lerinin tahsisi ve yönetimi için süreçlerin daha da geliştirilmesi ve standarttır. CNA arasında sorumluluklar üzerindeki belirsizlik veya anlaşmazlıklar söz konusu olduğunda, CERT@VDE, CVE öğelerinin kalitesine aracılık eder ve kontrol eder.
Alman şirketleri ve eleştiriler için avantajlar
CERT@VDE, Andreas Harner Bölümü Başkanı'na göre, promosyon Alman şirketleri için avantajlar sunuyor: Merkez sadece Orta Avrupa'daki meslektaşlar için aynı zaman diliminde değil, aynı zamanda uluslararası CVE sisteminin bir parçası. Bağlı insanlar müşterilerine olgun güvenlik yönetimine sahip olmaktan daha iyi gösterebilirler. Aynı zamanda, CVE'nin ürünlerinde zayıf noktalarda ne zaman ve nasıl yayınlandığını kontrol ettiler.
İlkbaharda, CVE veritabanı, Trump hükümetinin ortamından tasarruflara dayanarak CISA ve MITER arasındaki tutarsızlıklar nedeniyle kısaca karşı karşıya kaldı. AB alternatif arayışına katıldı. CVE ile yakından bağlantılı olan CVSS (Ortak Güvenlik Açığı Skoru Sistemi), duyarlılığı nedeniyle genellikle yanlış hakimler için eleştirilir. CISA, geçen yıl daha esnek bir yaklaşımla yuvanın önderliğindeki tüm Punta Daboli veritabanlarının annesinde bilgi birikimi ile yüzleşmek için övgüde bulundu.
(VBR)
Bir yanıt yazın