Sobre a base do seu mandato de fomentar a resiliencia da ciberseguridade no mercado único da UE, ENISA estivo traballando máis activamente no desenvolvemento de mecanismos para fomentar o uso de prácticas de divulgación divulgación coordinada de vulnerabilidades
(CVD). ENISA promoveu activamente as ECV e apoiou aos CSIRT da UE na adopción e o desenvolvemento de políticas de ECV a nivel nacional. Para iso, a Axencia publicou continuamente directrices, recomendacións e análises. Varios Estados membros da UE xa implementaron con éxito políticas de dereitos compensatorios.
ENISA está a ampliar o seu apoio en materia de dereitos compensatorios aos Estados membros cunha nova función que ofrece un servizo de rexistro de vulnerabilidades. Despois de incorporarse como Autoridade de Numeración CVE (CNA) , a Axencia agora está autorizada a asignar Identificadores CVE (IDE CVE) e publicar Rexistros CVE para vulnerabilidades descubertas polos CSIRT da UE ou notificadas a eles, de acordo con as súas funcións de coordinador dedicado.
Ademais, segundo NIS2, ENISA está a desenvolver e mantendo unha base de datos europea sobre vulnerabilidades (EUVD) que permite o acceso transparente a información enriquecida sobre vulnerabilidades proporcionada por múltiples fontes, como CSIRT, provedores e bases de datos existentes. Para axudar ás organizacións a lograr unha maior eficiencia na clasificación e priorización dos esforzos de xestión de vulnerabilidades, a EUVD introduce a automatización apoiando o Marco Asesor de Seguridade Común (CSAF).
Outros desenvolvementos lexislativos en curso tamén abordarán a divulgación de vulnerabilidades, con requisitos de manexo de vulnerabilidades xa previstos na Lei de Resiliencia Cibernética (CRA).
As novidades máis significativas que supoñen este nomeamento
- Divulgación coordinada de vulnerabilidades (CVD)
A CVD pode describirse como un modelo de divulgación de vulnerabilidades que tenta limitar a ameaza de explotación de vulnerabilidades, garantindo que as vulnerabilidades se divulguen ao público despois de que ás partes responsables concédalles o tempo adecuado para desenvolver unha solución, un parche ou proporcionar medidas de mitigación.
- Programa de vulnerabilidades e exposicións comúns (CVE)
A misión do programa CVE é identificar, definir e catalogar vulnerabilidades de ciberseguridade divulgadas publicamente. Hai un rexistro CVE para cada vulnerabilidade do catálogo. As vulnerabilidades son descubertas, logo asignadas e publicadas por organizacións de todo o mundo que se asociaron co Programa CVE. Os socios publican rexistros CVE para comunicar descricións consistentes de vulnerabilidades. Os profesionais de tecnoloxía da información e ciberseguridade utilizan CVE Records para asegurarse de que están a discutir o mesmo tema e para coordinar os seus esforzos para priorizar e abordar as vulnerabilidades.
- Autoridades de numeración CVE (CNA)
As CNA son organizacións responsables da asignación periódica de IDE CVE a vulnerabilidades e de crear e publicar información sobre a vulnerabilidade no rexistro CVE asociado. Cada CNA ten un ámbito de responsabilidade específico para a identificación e publicación de vulnerabilidades. ENISA agora está autorizada a asignar identificadores CVE (IDE CVE) e publicar rexistros CVE para vulnerabilidades descubertas polos CSIRT da UE ou notificadas a eles, en consonancia coas súas funcións de coordinador específico.
- Marco Consultivo de Seguridad Común (CSAF)
CSAF é un estándar para avisos de seguridade legibles por máquina. Este formato estandarizado para incorporar información de asesoramento sobre vulnerabilidades simplifica os procesos de clasificación e remediación para os propietarios de activos. Ao publicar avisos de seguridade utilizando CSAF, os provedores reducirán o tempo necesario para que as empresas comprendan o impacto organizacional e impulsen unha solución oportuna.
Fonte orixinal da noticia (ENISA)
