Sobre la base del seu mandat de fomentar la resiliència de la ciberseguretat al mercat únic de la UE, ENISA ha estat treballant més activament en el desenvolupament de mecanismes per fomentar l'ús de pràctiques de divulgació coordinada de vulnerabilitats
(CVD). ENISA va promoure activament les ECV i va recolzar als CSIRT de la UE en l'adopció i el desenvolupament de polítiques d'ECV a nivell nacional. Per a això, l'Agència ha publicat contínuament directrius, recomanacions i anàlisis. Diversos Estats membres de la UE ja han implementat amb èxit polítiques de drets compensatoris.
ENISA està ampliant el seu recolzo en matèria de drets compensatoris als Estats membres amb una nova funció que ofereix un servei de registre de vulnerabilitats. Després d'incorporar-se com a Autoritat de Numeració CVE (CNA) , l'Agència ara està autoritzada a assignar Identificadors CVE (ANEU CVE) i publicar Registres CVE per a vulnerabilitats descobertes pels CSIRT de la UE o notificades a ells, d'acord amb les seves funcions de coordinador dedicat.
A més, segons NIS2, ENISA està desenvolupant i mantenint una base de dades europea sobre vulnerabilitats (EUVD) que permet l'accés transparent a informació enriquida sobre vulnerabilitats proporcionada per múltiples fonts, com CSIRT, proveïdors i bases de dades existents. Per ajudar a les organitzacions a aconseguir una major eficiència en la classificació i priorització dels esforços de gestió de vulnerabilitats, l'EUVD introdueix l'automatització recolzant el Marco Assessor de Seguretat Comuna (CSAF).
Altres desenvolupaments legislatius en curs també abordaran la divulgació de vulnerabilitats, amb requisits de maneig de vulnerabilitats ja prevists en la Llei de Resiliència Cibernètica (CRA).
Les novetats més significatives que suposen aquest nomenament
- Divulgació coordinada de vulnerabilitats (CVD)
La CVD pot descriure's com un model de divulgació de vulnerabilitats que intenta limitar l'amenaça d'explotació de vulnerabilitats, garantint que les vulnerabilitats es divulguin al públic després que a les parts responsables se'ls hagi concedit el temps adequat per desenvolupar una solució, un pegat o proporcionar mesures de mitigació.
- Programa de vulnerabilitats i exposicions comunes (CVE)
La missió del programa CVE és identificar, definir i catalogar vulnerabilitats de ciberseguretat divulgades públicament. Hi ha un registre CVE per a cada vulnerabilitat del catàleg. Les vulnerabilitats són descobertes, després assignades i publicades per organitzacions de tot el món que s'han associat amb el Programa CVE. Els socis publiquen registres CVE per comunicar descripcions consistents de vulnerabilitats. Els professionals de tecnologia de la informació i ciberseguretat utilitzen CVE Records per assegurar-se que estan discutint el mateix tema i per coordinar els seus esforços per prioritzar i abordar les vulnerabilitats.
- Autoritats de numeració CVE (CNA)
Les CNA són organitzacions responsables de l'assignació periòdica d'ANEU CVE a vulnerabilitats i de crear i publicar informació sobre la vulnerabilitat en el registre CVE associat. Cada CNA té un àmbit de responsabilitat específic per a la identificació i publicació de vulnerabilitats. ENISA ara està autoritzada a assignar identificadors CVE (ANEU CVE) i publicar registres CVE per a vulnerabilitats descobertes pels CSIRT de la UE o notificades a ells, d'acord amb les seves funcions de coordinador específic.
- Marco Consultivo de Seguridad Común (CSAF)
CSAF és un estàndard per a avisos de seguretat llegibles per màquina. Aquest format estandarditzat per incorporar informació d'assessorament sobre vulnerabilitats simplifica els processos de classificació i remediación per als propietaris d'actius. En publicar avisos de seguretat utilitzant CSAF, els proveïdors reduiran el temps necessari perquè les empreses comprenguin l'impacte organitzacional i impulsin una solució oportuna.
Font original de la notícia (ENISA)
