17.05.2025 14:06
VASExperts 0 253 Источник

Недавно в США задумались о сокращении финансирования CVE (глобальной базы данных об уязвимостях). Решение даже приняли, но очень быстро пересмотрели. Подобной неопределенности хватило, чтобы в мире заговорили об альтернативах. В материале — обсуждаем ситуацию вокруг CVE, европейские и российские инициативы.

Фотография: Bùi Hoàng Long / Unsplash
Фотография: Bùi Hoàng Long / Unsplash

Ситуация с CVE

База данных Common Vulnerabilities and Exposures (CVE) представляет собой глобальную систему классификации уязвимостей. В наполнении базы CVE участвуют 453 организации из 40 стран, в том числе из России. Так, в прошлом году в неё были добавлены 40 тыс. уязвимостей — это на 38% больше, чем годом ранее. По данным организации VulnCheck — она уполномочена присваивать уязвимостям уникальные идентификаторы — в среднем каждую неделю появляются десятки критических уязвимостей. В целом CVE — это крупнейшая база, которой пользуются разработчики и специалисты во всем мире.

За финансирование программы по наполнению и поддержке базы CVE отвечает агентство CISA. Журналисты издания The Register говорят, что за последние два года на базу выделяли около 30 млн долларов. Но месяц назад правительство США решило оптимизировать расходы бюджета, в том числе на CVE. И пускай решение оперативно пересмотрели, одобрив бюджет на 11 месяцев, ситуация стала шоком для проекта. Эксперт по кибербезопасности и основатель Luta Security Кэти Муссурис сказала, что прекратить поддержку CVE — это «все равно, что лишить ИБ-отрасль кислорода и ожидать, что та резко отрастит жабры». Зависимость проекта от одного крупного спонсора сделала его уязвимым, и в ИТ-сообществе заговорили о поиске альтернатив.

Стоит заметить, что в марте прошлого года NVD (Национальная база уязвимостей США) приостановила обработку и анализ данных об уязвимостях в программном обеспечении и сервисах. Она перестала предоставлять CVE метаданные, включая оценку степени опасности уязвимостей. ИБ-специалисты заговорили о кризисе, а в СМИ стали появляться заголовки в духе: «Хакеры ликуют».

Критике подвергли и совет директоров CVE, который не предупредил комьюнити о риске обрыва финансирования (предположительно, такая информация у него была). Иронично, что незадолго до инцидента прошла тематическая конференция VulnCon, где участники с оптимизмом обсуждали будущее базы уязвимостей.

Шаги к диверсификации

Совет директоров и руководство CVE объявили о создании CVE Foundation — отдельной некоммерческой организации, которая станет финансировать развитие проекта. Ожидается, что фонд будет привлекать средства от частных компаний, международных партнеров и через краудфандинг. Готовность взять на себя инициативу в случае кризиса также выказали отдельные CNA (CVE Numbering Authority). Так, после объявления о прекращении финансирования в VulnCheck зарезервировали тысячу CVE-кодов, чтобы продолжить работу с базой.

Что касается европейских CNA, они также развивают собственные проекты — например, базу данных EUVD (European Vulnerability Database). Идея зародилась в 2024 году, однако ситуация с CVE подтолкнула Европейское агентство по сетевой и информационной безопасности (ENISA) ускорить разработку европейского решения.

Еще один проект достойный внимания — GCVE (Global Common Vulnerability Enumeration). Это — амбициозная инициатива из Люксембурга, которая предлагает децентрализованный подход к учету уязвимостей. В отличие от CVE, GCVE дает свободу действий независимым организациям, которые называются GCVE Numbering Authorities (GNAs). GNAs не зависят от центрального органа, не запрашивают у него блоки кодов и не обязаны строго следовать правилам по формату идентификаторов и процедурам их присвоения. Проект еще в разработке, но его авторы уже выпустили черновик документа, который объясняет, как проверить целостность файла каталога GCVE.

Разумеется, обе инициативы пока не могут соперничать с CVE по охвату и влиянию. Тем не менее их появление отражает глобальный тренд: страны стремятся к автономии в сфере кибербезопасности, не полагаясь на единую систему.

Что дальше

У нас развивают и собственный Банк данных уязвимостей (БДУ), созданный ФСТЭК. Особенность БДУ — ориентация на локальные стандарты: база включает данные об отечественных ОС (например, Astra Linux), информация о которых редко встречается в CVE. Хотя банк может интегрироваться с международными системами, чтобы следить за уязвимостями в иностранном ПО, которое используется в России. Кроме того, у отечественной базы есть потенциал в работе со странами БРИКС.

Еще один проект был предложен Роскомнадзором в 2023 году. Речь идет о национальной системе для автоматического выявления уязвимостей отечественных ресурсов. Платформа должна будет сканировать сайты, системы баз данных, почтовые серверы на наличие уязвимостей, чтобы повысить защиту от кибератак.

Фотография: Joshua Koblin / Unsplash
Фотография: Joshua Koblin / Unsplash

Кризис CVE в 2025 году показал, что даже ключевые инструменты кибербезопасности, на которые опираются сотни международных организаций, не застрахованы от проблем. Запуск CVE Foundation обещает сделать базу устойчивой к проблемам с финансированием, но ее успех зависит от поддержки сообщества и бизнеса. Европа развивает проекты EUVD и GCVE для защиты цифровой инфраструктуры и борьбы с киберугрозами, а Россия — развивает БДУ. Каждая из этих инициатив — шаг на пути к диверсифицированной экосистеме с автономными игроками.

Дополнительное чтение

  • В Европе снова заговорили об отказе от американских платформ и суверенном облаке — анализ ситуации. Несмотря на запрет передачи данных за пределы ЕС (кроме исключительных случаев), который действует с 1995 года, подавляющее большинство данных европейских компаний и правительственных организаций хранится на серверах в США. Сегодня европейские политики все чаще говорят о необходимости снизить зависимость от американских облачных провайдеров. Доходит до того, что некоторые называют хранение данных в AWS, Google Cloud и Azure угрозой национальной безопасности и призывают ужесточить регулирование. 

  • Рабочая сила и производства — телекомы, автопроизводители и корпорации из других областей все еще идут в Индию. Индия укрепляет статус мирового центра ИТ-аутсорсинга. 60% крупнейших компаний, включая American Airlines и IBM, передают туда до 30% ИТ-операций. Причина в низких зарплатах, но достаточно высокой квалификации индийских специалистов. Google и Amazon возводят кампусы в Хайдарабаде, а TP-Link планирует производить сетевые и IoT-устройства.

  • Предупрежден — значит вооружен: подборка открытых ресурсов с информацией о выявленных уязвимостях. В 2025 году открытые ресурсы, такие как CVE, NVD, OpenCVE и VulDB, помогают ИБ-специалистам отслеживать уязвимости. CVE стандартизирует идентификаторы, но не дает рекомендаций. NVD дополняет CVE патчами и оценкой критичности (CVSS), OpenCVE оповещает о новых угрозах, а VulDB анализирует даркнет и соцсети. Эти платформы, предлагающие API для автоматизации, остаются ключевым инструментом в борьбе с киберугрозами.

  • Перспективы 6G и системный подход к мобильным сетям — что почитать. Делимся открытыми источниками по теме: руководствами, аналитикой и исследованиями. Например, одна публикация рассказывает о перспективах и потенциале цифровых двойников в настройке мобильных сетей, другая посвящена принципам работы сетевого оборудования. Также есть учебник по ключевым принципам wireless-связи, который поможет составить целостное представление о теме. 

Комментарии (0)