美國(guó)政府正采取措施整改備受困惱的 CVE 系統(tǒng)

來源：安全狗 發(fā)布時(shí)間：2018-09-04瀏覽：3220次

美國(guó)政府正采取措施整改備受困惱的 CVE 系統(tǒng)

據(jù)外媒報(bào)道，美國(guó)政府正在采取措施修復(fù)近年來一直受到各種問題困擾的公共漏洞和暴露（CVE）系統(tǒng)。

  CVE 由 MITRE 公司在美國(guó)政府資助下創(chuàng)建于1999年，它是一個(gè)包含安全漏洞識(shí)別符（追蹤號(hào)碼）的數(shù)據(jù)庫(kù)。自創(chuàng)建以來，CVE 系統(tǒng)被公共和私營(yíng)企業(yè)采用，廣泛應(yīng)用于全球各地。大多數(shù)現(xiàn)代網(wǎng)絡(luò)安全軟件使用 CVE 編號(hào)來識(shí)別和跟蹤利用某些軟件 bug 的網(wǎng)絡(luò)攻擊。

  CVE 數(shù)據(jù)庫(kù)一直受到各種問題的困擾

  但近年來，CVE 系統(tǒng)飽受壓力。從2015年末起，大量安全研究員反饋稱在獲取 CVE 編號(hào)時(shí)延遲嚴(yán)重。他們中的一群人甚至聯(lián)合起來創(chuàng)建了一個(gè)替代的漏洞數(shù)據(jù)庫(kù)，稱為分布式弱點(diǎn)歸檔（DWF）。

  當(dāng)時(shí)，MITER 表示 CVE 號(hào)碼分配延遲是由于軟件供應(yīng)商數(shù)量的增加，和軟件驅(qū)動(dòng)的工業(yè)（SCADA）設(shè)備和物聯(lián)網(wǎng)設(shè)備的激增造成的。這兩個(gè)因素導(dǎo)致漏洞報(bào)告的數(shù)量大幅增加，CVE 員工無(wú)法及時(shí)跟進(jìn)。2016年末的一份報(bào)告發(fā)現(xiàn)，MITER 的 CVE 未能向2015年發(fā)現(xiàn)的 6000 多個(gè)漏洞分配編號(hào)。

  美國(guó)參議院于 2017 年開始調(diào)查 CVE 項(xiàng)目

  在媒體的大肆報(bào)道后，美國(guó)參議院能源和商務(wù)委員會(huì)于2017年3月底啟動(dòng)了對(duì) CVE 項(xiàng)目的調(diào)查。

  參議院之所以有權(quán)調(diào)查 CVE 的運(yùn)行情況，是因?yàn)?MITRE 從美國(guó)國(guó)土安全部的國(guó)家網(wǎng)絡(luò)安全處獲得運(yùn)行 CVE 數(shù)據(jù)庫(kù)的資金。

  經(jīng)過長(zhǎng)達(dá)一年的調(diào)查后，能源和商務(wù)委員本周一致函國(guó)土安全部（DHS）和 MITRE 公司，概述了調(diào)查結(jié)果和擬議的行動(dòng)方案，以解決 CVE 中發(fā)現(xiàn)的問題。

  原因＃1：資金波動(dòng)和減少

  委員會(huì)表示，DHS 資助金額的不一致和大幅減少是該項(xiàng)目走下坡路并大量積壓的原因之一。信中寫道：“2012-2015年，項(xiàng)目收到的資金同比減少了37％。DHS 和 MITER 文檔顯示，CVE 合同既不穩(wěn)定，又容易出現(xiàn)計(jì)劃和資金上的劇烈波動(dòng)?！?/p>

  為解決這一問題，委員會(huì)建議國(guó)土安全部官員將 CVE 的資金從基于合同的資助計(jì)劃轉(zhuǎn)移到 DHS 的自身預(yù)算內(nèi)，作為 PPA（計(jì)劃、項(xiàng)目或活動(dòng)）資助項(xiàng)目，讓 MITRE 專注于運(yùn)營(yíng) CVE 數(shù)據(jù)庫(kù)而不用總是擔(dān)心資助問題。

  原因＃2：缺乏監(jiān)督

  其次，委員會(huì)還確定了第二個(gè)問題來源，即缺乏對(duì) CVE 項(xiàng)目的監(jiān)督。

  “管理 CVE 計(jì)劃的歷史實(shí)踐顯然是不夠的。除非取得重大進(jìn)展，否則它們可能會(huì)再次引發(fā)對(duì)整個(gè)社會(huì)利益相關(guān)者產(chǎn)生直接負(fù)面影響的問題和挑戰(zhàn)”，委員會(huì)建議 DHS 和 MITER 進(jìn)行兩年一次的審查，以確保該項(xiàng)目在未來幾年的穩(wěn)定性和有效性，幫助在滲入下游網(wǎng)絡(luò)安全行業(yè)之前發(fā)現(xiàn)問題。