A ENISA, Agência da União Europeia para Cibersegurança, anunciou hoje o seu novo banco de dados de vulnerabilidades, para fornecer informações agregadas sobre problemas de segurança cibernética que afetam vários produtos e serviços. Embora isso não seja declarado, não parece coincidência a iniciativa acontecer exatamente depois que o programa CVE, mantido pela Mitre, ter passado pela ameaça de corte de verbas. As autoridades americanas estenderam por apenas 11 meses o suporte para a manutenção do banco CVE, que desempenha um papel crítico no combate a bugs e ataques cibernéticos. O esperado corte de pagamentos para o banco de dados Common Vulnerabilities and Exposures espalhou alarme na comunidade de segurança cibernética em Abril.
Leia também
Fundação garantirá perenidade do programa CVE
CISA impede interrupção do programa CVE
Segundo seu comunicado, a ENISA desenvolveu a Base de Dados Europeia de Vulnerabilidades (EUVD) conforme previsto na sua Diretiva NIS2. O serviço já está operacional no endereço https://euvd.enisa.europa.eu/. O banco de dados fornece informações agregadas, confiáveis e acionáveis, como medidas de mitigação e status de exploração de vulnerabilidades de segurança cibernética que afetam produtos e serviços de Tecnologia da Informação e Comunicação (TIC).
As informações agregadas do banco de dados são exibidas por meio de painéis. O EUVD oferece três visualizações de painel: para vulnerabilidades críticas, para vulnerabilidades exploradas e para vulnerabilidades coordenadas pela UE. O painel de Vulnerabilidades Coordenadas pela UE lista as vulnerabilidades coordenadas pelos CSIRTs europeus e inclui os membros da rede de CSIRTs da UE.
As informações coletadas e referenciadas sobre vulnerabilidades são provenientes de bancos de dados de código aberto. Informações adicionais são adicionadas por meio de avisos e alertas emitidos por CSIRTs nacionais, diretrizes de mitigação e aplicação de patches publicadas por fornecedores, juntamente com marcações de vulnerabilidades exploradas. Os registros de dados EUVD podem incluir:
- Uma descrição da vulnerabilidade;
- Produtos ou serviços de TIC afetados e/ou versões afetadas, a gravidade da vulnerabilidade e como ela pode ser explorada;
- Informações sobre patches relevantes disponíveis ou orientações fornecidas por autoridades competentes, incluindo CSIRTs, e endereçadas aos usuários sobre como mitigar riscos.
Para atender ao requisito da Diretiva NIS2, a ENISA iniciou uma cooperação com diferentes organizações da UE e internacionais, incluindo o Programa CVE do MITRE . A ENISA está em contato com o MITRE para entender o impacto e os próximos passos após o anúncio sobre o financiamento do Programa Comum de Vulnerabilidades e Exposições. Dados CVE, dados fornecidos por fornecedores de TIC que divulgam informações de vulnerabilidade por meio de avisos e informações relevantes, como o Catálogo de Vulnerabilidades Exploradas Conhecidas do CISA, são transferidos automaticamente para o EUVD. Isso também será alcançado com o apoio dos Estados-Membros que estabeleceram políticas nacionais de Divulgação Coordenada de Vulnerabilidades (CVD) e que designaram um de seus CSIRTs como coordenador, tornando o EUVD uma fonte confiável para maior conscientização situacional na UE.
Como Autoridade de Numeração CVE (CNA) , a ENISA pode registrar vulnerabilidades e dar suporte à divulgação de vulnerabilidades desde janeiro de 2024, em relação a:
- vulnerabilidades em produtos de TI descobertas pelos próprios CSIRTs da UE; e
- vulnerabilidades relatadas aos CSIRTs da UE para divulgação coordenada, desde que não estejam no escopo de outra Autoridade de Numeração CVE.
