accesskey_mod_content

ENISA é autorizada como autoridade de numeración de vulnerabilidades e exposicións comúns

  • Escoitar
  • Imprimir PDF
  • Compartir

13 xuño 2024

A Axencia de Ciberseguridade da UE (ENISA) amplía o seu apoio aos CSIRT da UE para a divulgación coordinada de vulnerabilidades e agora está autorizada como Autoridade de Numeración de Vulnerabilidades e Exposiciones Comunes (CVE).

Sobre a base do seu mandato de fomentar a resiliencia da ciberseguridade no mercado único da UE, ENISA estivo traballando máis activamente no desenvolvemento de mecanismos para fomentar o uso de prácticas de divulgación divulgación coordinada de vulnerabilidades(Abre en nova xanela) (CVD). ENISA promoveu activamente as ECV e apoiou aos CSIRT da UE na adopción e o desenvolvemento de políticas de ECV a nivel nacional. Para iso, a Axencia publicou continuamente directrices, recomendacións e análises. Varios Estados membros da UE xa implementaron con éxito políticas de dereitos compensatorios.  

ENISA está a ampliar o seu apoio en materia de dereitos compensatorios aos Estados membros cunha nova función que ofrece un servizo de rexistro de vulnerabilidades. Despois de incorporarse como Autoridade de Numeración CVE (CNA) , a Axencia agora está autorizada a asignar Identificadores CVE (IDE CVE) e publicar Rexistros CVE para vulnerabilidades descubertas polos CSIRT da UE ou notificadas a eles, de acordo con as súas funcións de coordinador dedicado.  

Ademais, segundo NIS2, ENISA está a desenvolver e mantendo unha base de datos europea sobre vulnerabilidades (EUVD) que permite o acceso transparente a información enriquecida sobre vulnerabilidades proporcionada por múltiples fontes, como CSIRT, provedores e bases de datos existentes. Para axudar ás organizacións a lograr unha maior eficiencia na clasificación e priorización dos esforzos de xestión de vulnerabilidades, a EUVD introduce a automatización apoiando o Marco Asesor de Seguridade Común (CSAF). 

Outros desenvolvementos lexislativos en curso tamén abordarán a divulgación de vulnerabilidades, con requisitos de manexo de vulnerabilidades xa previstos na Lei de Resiliencia Cibernética (CRA). 

As novidades máis significativas que supoñen este nomeamento

  • Divulgación coordinada de vulnerabilidades (CVD) 

A CVD pode describirse como un modelo de divulgación de vulnerabilidades que tenta limitar a ameaza de explotación de vulnerabilidades, garantindo que as vulnerabilidades se divulguen ao público despois de que ás partes responsables concédalles o tempo adecuado para desenvolver unha solución, un parche ou proporcionar medidas de mitigación. 

  • Programa de vulnerabilidades e exposicións comúns (CVE)   

A misión do programa CVE é identificar, definir e catalogar vulnerabilidades de ciberseguridade divulgadas publicamente. Hai un rexistro CVE para cada vulnerabilidade do catálogo. As vulnerabilidades son descubertas, logo asignadas e publicadas por organizacións de todo o mundo que se asociaron co Programa CVE. Os socios publican rexistros CVE para comunicar descricións consistentes de vulnerabilidades. Os profesionais de tecnoloxía da información e ciberseguridade utilizan CVE Records para asegurarse de que están a discutir o mesmo tema e para coordinar os seus esforzos para priorizar e abordar as vulnerabilidades. 

  • Autoridades de numeración CVE (CNA) 

As CNA son organizacións responsables da asignación periódica de IDE CVE a vulnerabilidades e de crear e publicar información sobre a vulnerabilidade no rexistro CVE asociado. Cada CNA ten un ámbito de responsabilidade específico para a identificación e publicación de vulnerabilidades. ENISA agora está autorizada a asignar identificadores CVE (IDE CVE) e publicar rexistros CVE para vulnerabilidades descubertas polos CSIRT da UE ou notificadas a eles, en consonancia coas súas funcións de coordinador específico. 

  • Marco Consultivo de Seguridad Común (CSAF) 

CSAF é un estándar para avisos de seguridade legibles por máquina. Este formato estandarizado para incorporar información de asesoramento sobre vulnerabilidades simplifica os procesos de clasificación e remediación para os propietarios de activos. Ao publicar avisos de seguridade utilizando CSAF, os provedores reducirán o tempo necesario para que as empresas comprendan o impacto organizacional e impulsen unha solución oportuna. 

Fonte orixinal da noticia(Abre en nova xanela)  (ENISA)

Fonte orixinal da noticia(Abre en nova xanela) (CVE)

  • Seguridade e Protección de Datos