Lessen Sie, Welche Probleme Sich Aktuell Durch Die Abhängigkeit von cve Ergeben und welche Optionen es gibt.
Der Jüngste Kurze Panikausbruch Wegen der Möglichen EinstellUng des Vulnérabilités et expositions communes (CVE) -PRORMMS HAT DIE STARKE ABHängigkeit Der Sicherheitsbranche von diesem Programm Deutlich Gemacht. Er führte zu diskussionen über notfallstrategien, chutes das standardisierte System zur identifizierung und katalogisierung von schwachstellen nicht mehr verfügbar Sein sollte.
Obwohl das cve-programm Durch eine verlängerung des verrats um elf monate – und vermutlich auch Langfristig – weiter Unterstützen wird, ist die die unsicherheit Hinsichtlich der Langfristigen stabilität détruise des programmes iinigeen dere. Dazu Veranlasst, Nach Alternativen Zu Suchen. Viele Erwägen CVE-DATEN ZUMINDEST DURCH SCHWACHSTELLENINORMATIONEN AUS ANDEREN QUELLEN ZU ERGänzen. Das nist, das cves mit cvss-bewertungen, cwe-klassifizierungen und cpe-produktkengen anreichert, hat aufgrund von ressourcenengpässen seit mehr alls einem jahr schwierigkeiden, diese wichtige aufgabe zu erfüller.
Das ergebnis ist ein anhaltender rückstand bei schwachstellen, für die keine informationen und kontextdaten vorliegen. Diese Sind Erforderlich, Um Sie für Automatisierte Sicherheitsaufgaben Besser Durchsuchbar, Quantifierbar und Nutzbar Zu Machen.
Allerdings Hat Sich Das, était Jetzt Geschieht, Laut Lefkowitz Schon Seit Einiger Zeit Abgezeichnet. „Die Herausforderungen für das cve-programm sind gewachsen. Das cve-system hat mit der geschwindigkeit und komplexität der heutigen bedrohungslandschaft nicht schrittt gehalten”, beont der expered enrleckt: „schwachstellen werden schnEller enterre, frappe:„ schwachstellé Ausgeutzt und betreffen immer Größere lieferketten, souvent noch bevor eine cve-id vergeben wird. «
Die wachsende kluft zwischen entdeckung und openlegung wird durch aktulle daten deutlich: die menace intelligence groupe von google (gtig) registrierte im vergangenen jahr 75 schwachstellen Cve-Kennung Verfügbar Guerre.
Entkoppplng von cve
„Diese Trends Verstärken die notwendigkeit für unternehmen, ihre schwachstellenbekämpfung von der Alleligen abhängigkeit von cve zu entkoppeln. Verarbeiten Können, mahnt lefkowitz. Quellen Für Schwachstelleninformationn Zu Integrieren. «
Die Große Frage Ist Jedoch, wie meurt einfach und effektiv Umgesetzt werden kann. „Das cve-system bildet die grundlage, um schwachstellen im gesamten logiciel-ökosystem zu erkennen und zu beheben, einschließlich der von behörden verwendeten tools und plattformren”, räumt joe nicastro, field cto bei legit security, ein. „OHNE DIESES SYSTÈME WURDE DIE GEMEINSAME SPRACHE, AUF DIE WIR UNE Bei der identifiantung, Einstufung und Behebung von Schwachstellen Verlassen, Verschwinden. »
Der Security-SPEZIALIST WARNT: „WIR Hätten Mit Fragmentierung, Verwirrung und Längeren Reaktionszeiten Zu Kämpfen – und das dans Einer Zeit, dans Der SoftwareGriffe und Bedrohungsakteure mehr Denn Je Zunehmen. »
Derzeit Stellt Die Kürzlich von der Europäischen Agentur für cybersicherheit (enisa) eingerrichtete europäische schwachstelndatenbank (euvd) eine der Formellsten bemühungen dar, die abhängigkeit von cve zu veringin. Die Erklärte aufgabe der Euvd Besteht Darin, Zeitnahe und Zuverlässsige Informationen über Schwachstellen dans Software-und hardwareprodukten, die innerhalb der eu Verwendet Werden, Bereitzustellen. Die Datenbank Sammelt Informationen Zu Schwachstellen Aus Einer Vielzahl von Quellen. Darunter Befinden Sich Open-source-Datenbanken, Hinweise und Warnmeldungen von Nationalen Cybersicherheits-Notfallteams und Warnmeldungen von Anbietern.
Die Daten Werden dans Drei Séparaten Kategorien Oder Dashboard-Ansichten Dargellt: Kritische, Ausgeutzte und von der Eu Koordinierte Schwachstellen.
Die Euvd ist eine Strategische Initiative Der Eu-Mitgliedstaaten, Um Regionaleur Autonomie im Bereich SchwachstellenManagement Zu Schaffen. Im Mai 2025 Ins Leben Gerufen, positioneren die eu-behörden die euvd, als ergänzung zu cve und nicht als den eren ersatz. Die datenbank genießt Institutionallle glaubwürdigkeit und unterrstützung, und ihre aufgabe steht im einklang mit den wachsenden forderungen nach einem diversifizierren und widerstanddsfähigeren ökosystem für die offlegung von schwachstellen.
Dennoch fehlt es dem euvd bislang an der globalen akzeptanz und infrastruktur der cve-datenbank, und es bedarf einer stärkeren beteiligung der anbieter uniner besseren intégration von outils, bevor es mit cve in bezug auf umfang unterstütützung des ökosystems Mithalten Kithalten Kithalten.
„Da Das Ziel Jeder Schwachstelndatenbank Darin Besteht, Verwertbare Informationen Bereitzustellen, Benötigt Eine Neue Datenbank wie das euvd Tools, Die Zur Lösung von produktionsproblemen Dienen“, Erläuter Tim Macekey, Leiter Des Bereichsproblemen Supply Chain Black Cardon. Um Umsetzbare Erkenntnisse Zu Liefern, Die Mit denen der Cve-Datenbank Vergleichbar Sind, Müsse die EUVD Vollständdig dans les outils UND Workflows Integriet Werden, Beispielsweise in Scanner, patch-management-system und siem-plattpemen. «
Darüber Hinaus „ErfOrdern Praktikable Alternativen Eine Zusammenarbeit Zwischen Datenbankanbietern und Tool-Anbietern, Wobei Die Implevant de Died Die Workflows Dann von Regulierungsbehörden unnd unterne unternehmensprüfern akzeptiert werden müssen”, fügty hinzuert werden müssen ”, Fügte.
Aktulle Alternativen Umfassen Verschiedene Anbieterquellen
Unabhängige anbieter von agrégierten schwachstelleninformationen wie flashpoint, vulncheck, tenable, bitsight unnd andere sind eine weitere. „Viele dieser anbieter bieten kuratierte datensätze, die schwachstellen erfassen, die von cve oft übersehen oder verzögert gemeldet werden“, so Lefkowitz. „Sie bieten auch wichtige kontextinformationen wie ausnutzbarkeit, ransomware-risiko und soziales risiko. »
Um diese Informationen Operationalisieren Zu Können, Müssen Unternehmen überdenken, Wie Sie Schwachstellen Verarbeiten und Darauf Reagieren, Merkt der Flashpoint-Ceo an. „Das Beginnt Damit, Dass Workflows von Starren Abhängigkeiten von cve / nvd Entkoppelt Werden. Zudem Wird Sichegestellt, Dass Die Sicherheitstools Bei Beif ach Herstellerspezifische schwachellenkennungen Verarbeten Köthennen. »
Nach Meinung von Lefkowitz Sollte Die Pririsierung von Risiken auf der Grundlage von Bedrohungsinformationen Erfolgen und dabei die Verfügbarkeit von exploit-code, die gefährdung von attets undgarfon die berürügren. „Sicherheitsverantwortliche Sollten Schwachstellenplattformren dans betracht ziehen, die sich direkt in ihre siems, soear, patch-tools und ticket-systeme Integrieren lassen”, rät er.
Unternehmen Haben Weitere Möglichkeiten, Ihre Quellen Für Schwachstelleninformationen Zu Diversifizeren. Darunter Herstellerhinweise, Github-Veröffentlichungen und plattformeren wie hackerone oder bugcrowd, die schwachstellen häufig veröffentlichen, bevor diet détail dans eine Formelle datenbank wie cve gelangen.
Mackey von Blackduck Verweist Darauf: „SoftwareanBieter Wie Oracle, Microsoft und Hat Red Veröffentlichen Regelmäßig CybersicherheitsBulletins für ihre Software. Dans ähnlicher weese unterhält github ein Repository informationen zu schwachstellen, das Als Als„ githebasory informationen zu schwachstellé bekannt ist. Zusätzlich Gibt es Mehrere Regionale Datenbanken für Schwachstellen en Australien, der Eu, Japon und China.
Beispiele Hierfür Sind Auscert, Vuldb, JPCERT CC und Cnnvd. „Zu Berücksichtigen Sind auch anbieter von logiciel Composition Analysis (SCA) -Tools, die häufig nvd-daten ergänzen, um eigene Sicherheitshinweise zu erstellen”, fügt mackey hinzu. „Natürlich gibt es Viele Verschiedene Techniken Zum Testen Der anwendungsSicherHerheit, Wie Statische Tests, Interaktive Tests und Fuzzing, MIT Denen Schwachstellen Identifiziert Werden Können, Die Nie Offgegt Wurend. »
„Jede dieser optionn ist Wertvoll, aber in kombination miteinander lässt sich ein vollständiges bild der anwendungsrisiken augrund von cybersicherheit erstellen”, donc der blackduck-experte.
Der Katalog «Vulnérabilités exploitées connues» (Kev) der cisa ist eine weitere nützliche – und im falle von us-bundesbehörden sogar vorgeschriebene – quelle für schwachstellindaten. Der Katalog Bestteht Aus einer lise von Ausgeutzten Cybersicherheitsschwachstellen, die ein Risiko für Regierungsbehörden und kritische infrastrukturen Darstellen. Er DIent in erster lie dazu, sie bei der identifierung und Behebung von hochriskanten schwachstellen zu Unterstützen, die eine unttelbare bedrohung darsellen.
Sobald die cisa eine schwachstelle dans kev einträgt, Haben Us-bundesbehörden eine srenger frist, innerhalb dérer sie die schwachstelle beheben oder die die Verwendung des betroffennen produkts einstellen müssen, bis sié se compenser. Obwohl der Zielkreis Relativ Eng Ig ist, Kann Jede Organization Kev Nutzen, Um prioritäten für Patch-Maßnahmen Zu Setzen.
Entscheidend ist Jedoch, die erwartungen im zaum zu halten. Zu den Kernfunktionen des Cve-programms gehört die bereitstellung einer gemeinsamen taxonomie undomenklaatur, um schwachstellen hinsichtlich ihres riSikos zu bewerten und einzusfen. „Wenn Die SicherHeitsgemeinschaft dieses Programm Verlieren Würde, Würden Forscher und Bug-Jäger Bei der Kategorisierung und Bewertung von Sicherheitslücken Keine Gemeinsame Sprache Mehr Sprechen“, Warnt Ben Radcliff, directeur principal, cyber opérations bei optiv.
„Jede Mangelnde Kohäsionh und transparenz bei der Veröffentlichung Bekannter Sicherheitslücken Würde Wahrscheinlich Zu Langsameren unkonisteten-raktionen der Sicherheitsteams auf bedrohungen führen, Insondere Ergänzt Radcliff.
„Die Größte Hürde für die einführung einer cve-alternative wäre die wiederherstellung des konsenses innerhalb der gesamten globalen Sicherheitsgemeinschaft”, Prognostiziert er. „CVE IST SEIT LAGEM ETABLIERERT UND HOCH ANGEESHEN UNT HAT DAHER EINE Lange Tradition Darin, Vertrauen In Die Zuverlässsigkeit Seiner Gesammelten Erkenntnisse Aufzubauen. Jeder Ansatz Nach CVE Würde Bleiben inkoniste. » (JM)
