O programa CVE (Common Vulnerabilities and Exposures), anunciou ontem que está concedendo à CISA, Agência de Segurança Cibernética e de Infraestrutura dos EUA, um de seus patrocinadores, autoridade para gerenciar a atribuição de Identificadores (IDs) CVE. A CISA se torna, assim, Autoridade de Numeração CVE de Raiz de Nível Superior, para os fornecedores de sistemas de controle industrial (ICS) e de dispositivos médicos que participam como Autoridades de Numeração CVE (CNA). A nomeação indica no mínimo uma elevação das preocupações do DHS (Departtment of Homeland Security) com os riscos sobre a infraestrutura crítica americana.
As CNAs são organizações autorizadas a atribuir IDs CVE a vulnerabilidades que afetam produtos dentro de um certo escopo. Um CNA raiz de nível superior, como a CISA, gerencia um grupo de CNAs em um determinado domínio ou comunidade, e pode também atribuir IDs de CVE a vulnerabilidades.
Veja isso
CISA cria lista de profissionais críticos no Covid-19
CISA entra no ‘Have I Been Pwned’ para proteger credenciais
A CISA será o CNA raiz de nível superior inicialmente para os seguintes CNAs:
- Alias Robotics S.L.
- Asea Brown Boveri Ltd.
- CERT @ VDE
- Johnson Controls
- Robert Bosch GmbH
- Siemens
- Gallagher Group Ltd
Como entidade raiz de nível superior para dispositivos dispositivos médicos e de controle industrial, a CISA se torna responsável por garantir a atribuição eficaz de IDs CVE, implementar as regras e diretrizes do Programa CVE e gerenciar os CNAs sob seus cuidados. Se torna também responsável pelo recrutamento e integração de novos CNAs e pela resolução de eventuais litígios.
Com agências internacionais