ENISA kan voortaan CVE-nummers aan kwetsbaarheden toekennen
Het Europees Agentschap voor cyberbeveiliging (ENISA) kan voortaan CVE-nummers aan kwetsbaarheden toekennen. De organisatie is geautoriseerd als een Common Vulnerabilities and Exposures (CVE) Numbering Authority (CNA). In 1999 lanceerde de MITRE Corporation de Common Vulnerabilities and Exposures (CVE)-lijst. CVE voorziet elke kwetsbaarheid van een uniek nummer.
Door het CVE-nummer is het eenvoudiger om kwetsbaarheden te volgen, informatie uit te wisselen en beveiligingsproducten te beoordelen. Het CVE-nummer begint met de letters CVE, gevolgd door een jaartal en een getal van vijf cijfers. CVE-nummers worden uitgegeven door een CNA. CNA's kunnen een CVE-nummer registreren voor een actueel beveiligingslek, maar het is ook mogelijk om een reeks van CVE-nummers te reserveren en die pas op een later moment te gebruiken.
Softwareleveranciers kunnen vaak zelf CVE-nummers toekennen aan hun eigen software, maar veel partijen die met kwetsbaarheden te maken krijgen kunnen dat niet. Het ENISA wil in de rol van CNA vooral ondersteuning bieden aan Europese Computer Security Incident Response Teams (CSIRTs) waar kwetsbaarheden worden gemeld of die ze zelf ontdekken.
Note, due to the layer at which the Linux kernel is in a system, almost any bug might be exploitable to compromise the security of the kernel, but the possibility of exploitation is often not evident when the bug is fixed. Because of this, the CVE assignment team are overly cautious and assign CVE numbers to any bugfix that they identify. This explains the seemingly large number of CVEs that are issued by the Linux kernel team.
Die benadering doet me denken aan hoe OpenBSD, dat een reputatie heeft hoog te houden op het gebied van security, inmiddels al tientallen jaren ermee omgaat:
De boodschap is dus dat je security het beste dient door geen onderscheid te maken tussen security bugs en gewone bugs maar domweg bugs te bestrijden, omdat zowat elke bug die je overslaat ooit een security bug kan blijken te zijn op een manier die je niet had voorzien. Door alle bugs te bestrijden los je een hoop kwetsbaarheden op nog voordat iemand ontdekt dat het inderdaad kwetsbaarheden zijn.
ENISA shall develop and maintain, after consulting the Cooperation Group, a European vulnerability database.
In April zegt echter zegt de COO van ENISA:
EU cyber agency will not create active vulnerability database, says chief cybersecurity officer.
https://therecord.media/enisa-will-not-create-vulnerability-database-cyber-resilience-act
Maar op 12 Juni zegt ENISA weer:
https://www.enisa.europa.eu/news/another-step-forward-towards-responsible-vulnerability-disclosure-in-europe
Furthermore, as per the NIS2, ENISA is developing and maintaining a European Vulnerability Database (EUVD) that enables transparent access to enriched vulnerability information provided by multiple sources, such as CSIRTs, vendors, as well as existing databases.
Komt er nu wel of niet een European Vulnerability Database (EUVD)?
ENISA shall develop and maintain, after consulting the Cooperation Group, a European vulnerability database.
In April zegt echter zegt de COO van ENISA:
EU cyber agency will not create active vulnerability database, says chief cybersecurity officer.
https://therecord.media/enisa-will-not-create-vulnerability-database-cyber-resilience-act
Maar op 12 Juni zegt ENISA weer:
https://www.enisa.europa.eu/news/another-step-forward-towards-responsible-vulnerability-disclosure-in-europe
Furthermore, as per the NIS2, ENISA is developing and maintaining a European Vulnerability Database (EUVD) that enables transparent access to enriched vulnerability information provided by multiple sources, such as CSIRTs, vendors, as well as existing databases.
Komt er nu wel of niet een European Vulnerability Database (EUVD)?
Niemand heeft gezegd dat de EUVD een zelfstandig iets moet zijn.
Wanneer je binnen de CVD de CVEs kunt selecteren die door ENISA zijn uitgegeven, dan heb je effectief de EUVD.
ENISA shall develop and maintain, after consulting the Cooperation Group, a European vulnerability database.
In April zegt echter zegt de COO van ENISA:
EU cyber agency will not create active vulnerability database, says chief cybersecurity officer.
https://therecord.media/enisa-will-not-create-vulnerability-database-cyber-resilience-act
Maar op 12 Juni zegt ENISA weer:
https://www.enisa.europa.eu/news/another-step-forward-towards-responsible-vulnerability-disclosure-in-europe
Furthermore, as per the NIS2, ENISA is developing and maintaining a European Vulnerability Database (EUVD) that enables transparent access to enriched vulnerability information provided by multiple sources, such as CSIRTs, vendors, as well as existing databases.
Komt er nu wel of niet een European Vulnerability Database (EUVD)?
Niemand heeft gezegd dat de EUVD een zelfstandig iets moet zijn.
Wanneer je binnen de CVD de CVEs kunt selecteren die door ENISA zijn uitgegeven, dan heb je effectief de EUVD.
Maar de CVE database heeft een gigantische achterstand.
Ik begrijp niet dat Europa daar afhankelijk van wil zijn.
https://vulncheck.com/blog/nvd-backlog-exploitation
Toezichthouders willen dat je in ieder geval de Critical en High risk vulnerabilities binnen 1 week hebt gepatched.
Dat gaat zo nooit lukken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
