Как на Россию повлияет отказ США финансировать базу уязвимостей софта

С 16 апреля власти США остановили финансирование CVE — базы данных об уязвимостях в софте. Ее используют во всем мире, в том числе в России. Эксперты предупреждают, что, если база перестанет обновляться, это даст фору хакерам

Со среды, 16 апреля, система с данными об уязвимостях CVE (Common Vulnerabilities and Exposures) потеряла финансирование. Причина— не был продлен контракт между Агентством по кибербезопасности и защите инфраструктуры США (CISA) и отвечавшей за поддержку и развитие базы американской корпорацией MITRE. В официальном заявлении иностранным СМИ представитель CISA заявил, что они экстренно работают над смягчением последствий и сохранением услуг CVE. Он не пояснил причины прекращения контракта с MITRE, как и то, будутли искать другую организацию для выполнения этой работы.

CVE— это база данных общеизвестных уязвимостей и инцидентов. Каждому событию присваивается идентификационный номер вида CVE-год-номер и описание. База была создана в 1999 году, сейчас в ней более 270 тыс. записей об уязвимостях. По собственным данным, партнерами CVE являются 453 организации из 40 стран, в том числе российские «Лаборатория Касперского» и «Яндекс». Если кто-либо находит уязвимость, он может обратиться к подобным компаниям-партнерам в своей стране, а те, в свою очередь, проверяют информацию и в случае ее подтверждения публикуют запись о ней в реестре CVE.

База CVE определяет и структурирует информацию об известных уязвимостях в различном программном обеспечении, позволяет оценить критичность уязвимостей, пояснил РБК эксперт Kaspersky ICS CERT Владимир Дащенко. По его словам, «большинство компаний в России, которые грамотно управляют своей информационной безопасностью, ориентируются на CVE» и стараются анализировать, какие уязвимости есть в их инфраструктуре. «Это отличная метрика, которая помогает оценивать, какие бывают уязвимости, как на них реагировать. В CVE также есть информация о том, какие митигационные меры (меры для снижения и смягчения негативных воздействий.— РБК) предлагает вендор, чтобы устранить ту или иную уязвимость»,— пояснил он. По словам Дащенко, «Лаборатория Касперского» в 2017 году была признана авторитетным исследователем уязвимостей и включена в список партнеров CVE. Этот статус дает возможность самостоятельно обозначать, описывать и публиковать информацию об уязвимостях, что позволяет быстрее находить и закрывать бреши в программном обеспечении, дополнил он.

Даниил Чернов, автор продукта Solar appScreener (анализирует безопасность приложений), отметил, что решение об остановке финансирования может быть вызвано общей политикой администрации президента США Дональда Трампа по сокращению государственных расходов. «При этом за последние несколько месяцев ряд принятых решений пересматривался в течение короткого времени. Поэтому сложно сказать, являетсяли это решение финальным»,— рассуждает Чернов.

Владимир Дащенко допускает, что, если правительство США полностью остановит финансирование CVE, это обязательство может взять на себя частный сектор, например кто-то из вендоров.

К чему приведет прекращение финансирования

Если финансирование CVE окончательно прекратится, это будет печальной новостью для международного и российского сообщества информационной безопасности, говорит Даниил Чернов. По его словам, большинство компаний, в том числе производители сканеров кода и уязвимостей, ориентировались на эту классификацию, использовали CVE-нумерацию как единый стандарт для рынка.

По словам замдиректора Центра компетенций НТИ «Технологии доверенного взаимодействия» Руслана Пермякова, российские компании используют CVE для сопоставления уязвимостей в своих продуктах с мировыми классификаторами. При выходе на зарубежные рынки или работе с международными партнерами компании обязаны поддерживать соответствие CVE для включения в международные средства защиты, отметил Пермяков. Он дополнил, что Минцифры и Федеральная служба по техническому и экспортному контролю (ФСТЭК) ориентируются на CVE при разработке критериев безопасности и технических заданий.

Российские компании и госструктуры, интегрированные в глобальные цепочки поставок (например, разработчики софта, поставщики облачных услуг), используют CVE для совместимости с зарубежными партнерами, подтвердил основатель компании «Интернет-Розыск», руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров. Ослабление системы, по его словам, может усложнить взаимодействие и повысить риски из-за несвоевременного получения данных об угрозах. «Многие российские решения для кибербезопасности, например сканеры уязвимостей и системы управления событиями безопасности (SIEM), зависят от CVE для автоматического обновления сигнатур угроз. Если она перестанет обновляться, это потребует перестройки процессов или поиска альтернатив»,— указал Бедеров. Если информация о новых уязвимостях будет поступать компаниям с запозданием, по его словам, это повысит риск того, что уязвимостями успеют воспользоваться злоумышленники. Отход от единого стандарта, по его мнению, может привести к тому, что данные об угрозах будут разрозненными, что усложнит защиту критической инфраструктуры и корпоративных сетей.

Естьли альтернативы

По словам Владимира Дащенко, быстро заменить CVE не получится— похожие базы существуют, но они не являются полными и всеобъемлющими.

Руслан Пермяков в качестве «частичных аналогов» CVE назвал базу данных уязвимостей ФСТЭК, оговорившись, что она во многом опирается на CVE. «В случае остановки системы ФСТЭКу придется наращивать собственный сбор, обработку и верификацию уязвимостей, особенно для глобального софта»,— пояснил эксперт. Среди других аналогов он назвал Open Source Vulnerability database (OSV) от Google, коммерческий продукт VulDB, базу эксплойтов ExploitDB и японскую базу JVN, но и они частично дублируют CVE, подчеркнул Пермяков.

Директор департамента сертификации и безопасной разработки «Инферит» (входит в ГК Softline) Максим Фокин также говорит, что множество баз данных уязвимостей, как российских, так и зарубежных, интегрированы с CVE, и прекращение финансирования последней повлияет на их работу. Он считает, что легко и быстро заменить такую базу невозможно, для этого нужно перенаправить потоки сообщений об уязвимостях в другие существующие базы— по сути, полностью изменить логистику. «Пока нет понимания, в какой базе теперь публиковать информацию об уязвимости. Раньше единой точкой входа для такой информации была CVE. К томуже существующим базам придется писать автоматизацию по сбору информации из открытых источников и добавлению ее в свои базы данных, при этом контролируя повторения и другие нюансы»,— добавил Фокин.

Ведущий эксперт Центра безопасности Positive Technology Александр Леонов считает, что принципиально изменить ситуацию можно только через усиление импортозамещения. «Отечественная база уязвимостей— банк данных угроз безопасности информации (БДУ) ФСТЭК— не сможет полноценно заменить базу CVE. Она собирает уязвимости только в продуктах, которые могут использоваться в инфраструктуре российских госорганизацийи в отечественном софте. Более реалистичной заменой могут стать порталы и платформы Vulnerability Intelligence (управление уязвимостями), в некотором количестве представленные на российском рынке. Хотя насколько они смогут функционировать в условиях гипотетического прекращения работы MITRE— вопрос открытый»,— говорит Леонов. По словам Игоря Бедерова, то, что ФСТЭК разработал собственный классификатор уязвимостей информационных систем, частично нивелирует риски от возможного закрытия CVE, но он указал, что база ведомства содержит «достаточно общие описания уязвимостей» и используется для составления документов, связанных с кибербезопасностью. В долгосрочной перспективе отключение CVE ускорит развитие национальных систем, но их эффективность будет зависеть от качества интеграции с международными партнерами, например странами БРИКС, а также от скорости адаптации рынка, считает Бедеров.

Читайте РБК в Telegram.

Источник