Sobre la base de su mandato de fomentar la resiliencia de la ciberseguridad en el mercado único de la UE, ENISA ha estado trabajando más activamente en el desarrollo de mecanismos para fomentar el uso de prácticas de divulgación coordinada de vulnerabilidades (CVD). ENISA promovió activamente las ECV y apoyó a los CSIRT de la UE en la adopción y el desarrollo de políticas de ECV a nivel nacional. Para ello, la Agencia ha publicado continuamente directrices, recomendaciones y análisis. Varios Estados miembros de la UE ya han implementado con éxito políticas de derechos compensatorios.
ENISA está ampliando su apoyo en materia de derechos compensatorios a los Estados miembros con una nueva función que ofrece un servicio de registro de vulnerabilidades. Después de incorporarse como Autoridad de Numeración CVE (CNA) , la Agencia ahora está autorizada a asignar Identificadores CVE (ID CVE) y publicar Registros CVE para vulnerabilidades descubiertas por los CSIRT de la UE o notificadas a ellos, de acuerdo con sus funciones de coordinador dedicado.
Además, según NIS2, ENISA está desarrollando y manteniendo una base de datos europea sobre vulnerabilidades (EUVD) que permite el acceso transparente a información enriquecida sobre vulnerabilidades proporcionada por múltiples fuentes, como CSIRT, proveedores y bases de datos existentes. Para ayudar a las organizaciones a lograr una mayor eficiencia en la clasificación y priorización de los esfuerzos de gestión de vulnerabilidades, la EUVD introduce la automatización apoyando el Marco Asesor de Seguridad Común (CSAF).
Otros desarrollos legislativos en curso también abordarán la divulgación de vulnerabilidades, con requisitos de manejo de vulnerabilidades ya previstos en la Ley de Resiliencia Cibernética (CRA).
Las novedades más significativas que suponen este nombramiento
- Divulgación coordinada de vulnerabilidades (CVD)
La CVD puede describirse como un modelo de divulgación de vulnerabilidades que intenta limitar la amenaza de explotación de vulnerabilidades, garantizando que las vulnerabilidades se divulguen al público después de que a las partes responsables se les haya concedido el tiempo adecuado para desarrollar una solución, un parche o proporcionar medidas de mitigación.
- Programa de vulnerabilidades y exposiciones comunes (CVE)
La misión del programa CVE es identificar, definir y catalogar vulnerabilidades de ciberseguridad divulgadas públicamente. Hay un registro CVE para cada vulnerabilidad del catálogo. Las vulnerabilidades son descubiertas, luego asignadas y publicadas por organizaciones de todo el mundo que se han asociado con el Programa CVE. Los socios publican registros CVE para comunicar descripciones consistentes de vulnerabilidades. Los profesionales de tecnología de la información y ciberseguridad utilizan CVE Records para asegurarse de que están discutiendo el mismo tema y para coordinar sus esfuerzos para priorizar y abordar las vulnerabilidades.
- Autoridades de numeración CVE (CNA)
Las CNA son organizaciones responsables de la asignación periódica de ID CVE a vulnerabilidades y de crear y publicar información sobre la vulnerabilidad en el registro CVE asociado. Cada CNA tiene un ámbito de responsabilidad específico para la identificación y publicación de vulnerabilidades. ENISA ahora está autorizada a asignar identificadores CVE (ID CVE) y publicar registros CVE para vulnerabilidades descubiertas por los CSIRT de la UE o notificadas a ellos, en consonancia con sus funciones de coordinador específico.
- Marco Consultivo de Seguridad Común (CSAF)
CSAF es un estándar para avisos de seguridad legibles por máquina. Este formato estandarizado para incorporar información de asesoramiento sobre vulnerabilidades simplifica los procesos de clasificación y remediación para los propietarios de activos. Al publicar avisos de seguridad utilizando CSAF, los proveedores reducirán el tiempo necesario para que las empresas comprendan el impacto organizacional e impulsen una solución oportuna.
Fuente original de la noticia (ENISA)