美國政府正采取措施整改備受困惱的 CVE 系統(tǒng)

來源：安全狗 發(fā)布時間：2018-09-04瀏覽：3297次

美國政府正采取措施整改備受困惱的 CVE 系統(tǒng)

據(jù)外媒報道，美國政府正在采取措施修復近年來一直受到各種問題困擾的公共漏洞和暴露（CVE）系統(tǒng)。

  CVE 由 MITRE 公司在美國政府資助下創(chuàng)建于1999年，它是一個包含安全漏洞識別符（追蹤號碼）的數(shù)據(jù)庫。自創(chuàng)建以來，CVE 系統(tǒng)被公共和私營企業(yè)采用，廣泛應用于全球各地。大多數(shù)現(xiàn)代網(wǎng)絡安全軟件使用 CVE 編號來識別和跟蹤利用某些軟件 bug 的網(wǎng)絡攻擊。

  CVE 數(shù)據(jù)庫一直受到各種問題的困擾

  但近年來，CVE 系統(tǒng)飽受壓力。從2015年末起，大量安全研究員反饋稱在獲取 CVE 編號時延遲嚴重。他們中的一群人甚至聯(lián)合起來創(chuàng)建了一個替代的漏洞數(shù)據(jù)庫，稱為分布式弱點歸檔（DWF）。

  當時，MITER 表示 CVE 號碼分配延遲是由于軟件供應商數(shù)量的增加，和軟件驅(qū)動的工業(yè)（SCADA）設備和物聯(lián)網(wǎng)設備的激增造成的。這兩個因素導致漏洞報告的數(shù)量大幅增加，CVE 員工無法及時跟進。2016年末的一份報告發(fā)現(xiàn)，MITER 的 CVE 未能向2015年發(fā)現(xiàn)的 6000 多個漏洞分配編號。

  美國參議院于 2017 年開始調(diào)查 CVE 項目

  在媒體的大肆報道后，美國參議院能源和商務委員會于2017年3月底啟動了對 CVE 項目的調(diào)查。

  參議院之所以有權(quán)調(diào)查 CVE 的運行情況，是因為 MITRE 從美國國土安全部的國家網(wǎng)絡安全處獲得運行 CVE 數(shù)據(jù)庫的資金。

  經(jīng)過長達一年的調(diào)查后，能源和商務委員本周一致函國土安全部（DHS）和 MITRE 公司，概述了調(diào)查結(jié)果和擬議的行動方案，以解決 CVE 中發(fā)現(xiàn)的問題。

  原因＃1：資金波動和減少

  委員會表示，DHS 資助金額的不一致和大幅減少是該項目走下坡路并大量積壓的原因之一。信中寫道：“2012-2015年，項目收到的資金同比減少了37％。DHS 和 MITER 文檔顯示，CVE 合同既不穩(wěn)定，又容易出現(xiàn)計劃和資金上的劇烈波動。”

  為解決這一問題，委員會建議國土安全部官員將 CVE 的資金從基于合同的資助計劃轉(zhuǎn)移到 DHS 的自身預算內(nèi)，作為 PPA（計劃、項目或活動）資助項目，讓 MITRE 專注于運營 CVE 數(shù)據(jù)庫而不用總是擔心資助問題。

  原因＃2：缺乏監(jiān)督

  其次，委員會還確定了第二個問題來源，即缺乏對 CVE 項目的監(jiān)督。

  “管理 CVE 計劃的歷史實踐顯然是不夠的。除非取得重大進展，否則它們可能會再次引發(fā)對整個社會利益相關者產(chǎn)生直接負面影響的問題和挑戰(zhàn)”，委員會建議 DHS 和 MITER 進行兩年一次的審查，以確保該項目在未來幾年的穩(wěn)定性和有效性，幫助在滲入下游網(wǎng)絡安全行業(yè)之前發(fā)現(xiàn)問題。