A controvérsia CVE cria oportunidade para melhorar

Um intenso debate sobre a melhor forma de gerir o rastreamento de vulnerabilidades e exposições comuns (CVEs) está agora em curso após uma decisão de última hora da administração Trump para continuar a financiar este esforço nos próximos 11 meses.

Hoje, as CVEs recebem um nome único sob um programa financiado pelo governo federal e administrado pela MITRE Corporation. Qualquer nova vulnerabilidade descoberta pode ser reportada a uma Autoridade de Numeração CVE (CNA) que ajuda a administrar o programa. Esses dados são então amplamente partilhados com os fornecedores de cibersegurança que usam essa informação para alertar os clientes e, se disponível, ajudar a remediar a causa raiz do problema.

Existem, no entanto, outras abordagens para rastrear CVEs. Por exemplo, uma fundação sem fins lucrativos CVE foi agora formada para promover uma abordagem alternativa para gerir este processo. Os membros do conselho da CVE Foundation até agora incluem profissionais de cibersegurança de uma variedade de empresas de tecnologia, bem como da Agência de Segurança e Infraestrutura de Cibersegurança (CISA) e do Instituto Nacional de Padrões e Tecnologia (NIST).

Não está claro em que medida o governo dos EUA apoiará esta iniciativa, mas outros governos ao redor do mundo têm-se mostrado claramente preocupados com a forma como o processo CVE está a ser gerido. Por exemplo, no ano passado, a União Europeia (UE) criou a Agência da União Europeia para a Cibersegurança (ENISA) para administrar a Base de Dados de Vulnerabilidades da União Europeia (EUVD). Semelhante à Base de Dados Nacional de Vulnerabilidades (NVD) criada pelos EUA, a EUVD organiza questões pelo seu ID único atribuído pelo CVE, documenta o seu impacto e liga a avisos e correções.

Potencial para uma mudança na abordagem dos CVEs

Pode levar algum tempo antes que qualquer tipo de consenso seja alcançado sobre a melhor forma de administrar a divulgação de CVEs, mas quando tudo estiver dito pode haver uma oportunidade de melhoria. Muitos investigadores de cibersegurança estão agora incentivados a descobrir potenciais vulnerabilidades que podem não ser especialmente críticas. De facto, não é incomum que as classificações de severidade atribuídas aos CVEs sejam fervorosamente disputadas numa era em que os investigadores de cibersegurança competem entre si para descobrir a próxima grande ameaça.

As classificações de gravidade das CVEs são também uma fonte de discórdia entre as equipas de cibersegurança e as equipas de desenvolvimento de aplicações. Muitos desenvolvedores de aplicações ressentem-se de ter de localizar vulnerabilidades apenas para descobrir que são acessíveis em raras ocasiões. A maioria dos desenvolvedores só pode dedicar um determinado tempo por mês a criar correções para aplicações existentes, pelo que, quando esses esforços são desperdiçados, tendem a prestar ainda menos atenção aos alertas.

Eventualmente, avanços em inteligência artificial irão em breve facilitar não só a descoberta de vulnerabilidades, mas também a sua correção, através da apresentação de trechos de código que podem ser facilmente aplicados sem comprometer uma aplicação.

Enquanto isso, no entanto, as equipas de cibersegurança devem prestar mais atenção à forma como o processo CVE é gerido. Identificar ameaças com base em classificações de gravidade atribuídas ao acompanhamento de CVEs não é suficiente. Uma análise de 110 milhões de alertas de segurança realizada pela OX Security, por exemplo, encontrou apenas 2% a 5% que requerem ação imediata, sendo mais de 95% considerados informativos. Isso não significa que os alertas devem ser ignorados, mas fica claro que precisam ser cuidadosamente avaliados antes de as equipas de cibersegurança decidirem acionar quaisquer alarmes de incêndio proverbiais.