Era octubre de 1999. Los Macs acababan incorporar Wi-Fi, Napster nacía y Yahoo había comprado Geocities por 3,6 mil millones de dólares. Algo más sucedió que paso inadvertido para la mayoría de los usuarios de ordenadores en ese momento: CVE publicó su primera vulnerabilidad. El sistema de vulnerabilidades y exposiciones comunes (CVE) cumple 20 años esta semana.
Creado por la corporación sin fines de lucro Mitre, que supervisa varios programas del gobierno federal, CVE proporciona identificadores comunes para errores de ciberseguridad, lo que facilita su seguimiento y reparación.
En aquel entonces, la mayoría de las herramientas de seguimiento de errores de ciberseguridad usaban sus propias bases de datos y sus propias ID para el seguimiento de errores. Eso dificultó la colaboración para informar y solucionarlos. CVE arregló esto usando su sistema de numeración de errores.
La lista de CVE no podría haber llegado en un mejor momento: 1999 fue el año en que realmente despegaron las infecciones generalizadas de malware. El virus CIH que apareció el año anterior dejó caer su primera carga útil en 1999. En marzo, el gusano Melissa devastó las máquinas de los usuarios de Office en todo el mundo, estableciendo el récord del malware más poderoso hasta el momento.
La lista comenzó siendo pequeña pero ha crecido hasta contener más de 125.000 vulnerabilidades. La Base de Datos Nacional de Vulnerabilidades (NVD) del NIST se basa en ella, y Mitre también busca las vulnerabilidades para producir una lista de categorías más amplias de debilidad de ciberseguridad conocida como la Enumeración de Debilidad Común.
El éxito de CVE también presenta nuevos desafíos. Durante años, la lista creció a un ritmo modesto, agregando entre 4.000 y 8.000 nuevos errores cada año. Luego, en 2017, las cosas explotaron con un aumento del 128% en nuevos errores. Una tasa de crecimiento interanual de solo creció el 12% en 2018 puede ser más modesta, pero también sugiere una nueva normalidad en la que los informes de errores ahora superan los 10.000 cada año.
Mitre se ha tensado bajo el peso de este trabajo extra. Incluso antes del pico masivo de 2017, hubo una desaceleración en el procesamiento. El Congreso investigó y descubrió que una financiación inconsistente estaba obstaculizando el programa. Recomendó un cambio en la estructura de la financiación, junto con revisiones bienales.
Mitre ha respondido expandiendo sus operaciones para producir un enfoque de gestión más federal.
Cuando alguien descubre un error, puede pedirle a una Autoridad de Numeración de CVE (CNA) que le dé un número de identificación. Luego combina eso con una descripción y cualquier referencia asociada para crear una entrada CVE que se agrega a la lista. Mitre es el programa raíz CNA, pero hay otros, y han expandido esta comunidad para hacer frente a la creciente demanda. En 2016 había 22 CNA. Hoy en día, hay 104, incluidos 5 CERT, 2 programas de recompensas de errores y 9 investigadores de seguridad individuales.
A medida que crece el número y la diversidad de errores, una forma central y estándar de nombrarlos y rastrearlos será más importante que nunca. Ya es bastante difícil enfrentarse a este desafío incluso con una lista central. ¿Te imaginas cómo serían las cosas si todos siguiéramos usando nuestros propios sistemas de nombres y documentando errores en cientos de silos individuales?
Dejar un comentario