Akadozik az online sebezhetőségek felderítésére és kezelésére létrehozott két alapvető amerikai rendszer működése, miközben a világ egyre kiszolgáltatottabb a szoftverhibák miatti kibertámadásoknak. 

A globális kiberbiztonsági védelem két alapvető rendszere került veszélybe az elmúlt másfél évben. Tavaly februárban az amerikai kormány által működtetett National Vulnerability Database (NVD) – amelyet világszerte használnak a biztonsági rések ingyenes nyilvántartására és elemzésére – váratlanul leállította az új bejegyzések közzétételét. A döntést egy homályosan megfogalmazott indokkal magyarázták, miszerint „változás történt az ügynökségek közötti együttműködésben”. 

Idén áprilisban a Common Vulnerabilities and Exposures (Közös sebezhetőségek és veszélyeztetettségek – CVE) program is veszélybe került: ez a rendszer ad világszerte hivatalos azonosítószámot a szoftverhibáknak. Egy kiszivárgott levél szerint a program működését biztosító szerződés hamarosan lejár, ami bizonytalanságot keltett a folytatásával kapcsolatban. Márpedig a kijavítatlan biztonsági réseket előszeretettel használják ki a kibertámadók: ezek jelentik a második leggyakoribb behatolási módszert, és már több esetben is akár halálos kimenetelű kórházi leállásokat, valamint súlyos, kritikus infrastruktúrát érintő meghibásodásokat idéztek elő. 

Költségvetési problémák és alternatív megoldások 

Végül a Cybersecurity and Infrastructure Security Agency (Kiberbiztonsági és Infrastrukturális Biztonsági Ügynökség – CISA) egy évvel meghosszabbította a CVE finanszírozását, az incidenst egyszerűen „szerződésadminisztrációs problémának” nevezve.  

Az NVD története azonban bonyolult. Szülőszervezete, a National Institute of Standards and Technology (Nemzeti Szabványügyi és Technológiai Intézet – NIST) tavaly körülbelül 12 százalékos költségvetéscsökkentést szenvedett el, éppen akkor, amikor a CISA visszavonta évi 3,7 millió dolláros finanszírozását az NVD-től. Röviddel ezután – ahogy a támogatásmegvonás miatti lemaradás nőtt – a biztonsági ügynökség elindította saját, az elemzési hiány kezelését célzó vulnrichment (vagyis sebezhetőségi) programját, miközben egy decentralizáltabb megközelítést támogatott, amely lehetővé teszi több engedélyezett partner számára a bővített adatok közzétételét.  

Sandy Radesky, az ügynökség sebezhetőségkezelési igazgatóhelyettese szerint „a CISA folyamatosan mérlegeli, hogyan oszthatja be leghatékonyabban a rendelkezésre álló, ám korlátozott erőforrásokat annak érdekében, hogy segítse a szervezeteket az újonnan felfedezett kockázatok csökkentésében”. Ahelyett azonban, hogy egyszerűen betöltené a keletkezett űrt, Radesky hangsúlyozta: a vulnrichment célja kifejezetten az, hogy kiegészítő, célzott információkat nyújtson – például ajánlott intézkedéseket az érintett szereplők számára –, és ezzel csökkentse a szövetségi kormány kizárólagos szerepét a sérülékenységek elemzésében és bővítésében. 

Időközben a NIST sürgősen próbált szerződéses partnereket találni a lemaradás felszámolására. Annak ellenére, hogy visszatértek a válság előtti feldolgozási szintre, az NVD-hez újonnan bejelentett sebezhetőségek számbeli robbanása túlszárnyalta ezeket az erőfeszítéseket. Jelenleg  

több mint 25 ezer kockázati rés vár feldolgozásra – ez közel 10-szerese a 2017-es korábbi csúcsnak.  

Bizalmi válság és globális következmények 

A helyzet most több kormányzati intézkedést is kiváltott: a Kereskedelmi Minisztérium májusban elindított egy NVD-auditot, és a képviselőházi demokraták júniusban mindkét program szélesebb körű vizsgálatát kérték. Matthew King, az MIT Technology Review szakértője szerint  

a megrendült bizalom már most hatással van a geopolitikára és az ellátási láncokra, miközben a biztonsági csapatok egy új korszak kibertérből eredő kockázataira próbálnak felkészülni. 

A vállalati sebezhetőségkezelési programokkal foglalkozó Rose Gupta szerint „még ha holnap nagyobb költségvetéssel minden rendbe is jön, akkor sem lehet garantálni, hogy ez nem történik meg újra.”  

Mélyülnek a digitális egyenlőtlenségek 

Ami az internet hajnalán még csak a szoftversebezhetőségek csorogáló patakja volt, mára megállíthatatlan folyammá nőtte ki magát – a korábban évtizedeken át megbízhatóan működő nyilvános adatbázisok pedig egyre nehezebben tudják tartani vele a lépést. Július elején a CVE-adatbázis átlépte a 300 ezer katalogizált kockázati rést. A számok évről évre kiszámíthatatlanul ugranak, néha 10 százalékkal vagy sokkal többel, és nem minden szervezet engedheti meg magának, hogy prémium biztonsági eszközökkel töltse ki az NVD hiányát. Vagyis a kisebb cégek és startupok, amelyek már eleve hátrányban vannak, nagyobb kockázatnak lesznek kitéve. Egy újdelhi biztonsági mérnök szerint ha az NVD eltűnik, válság lesz a piacon. Más adatbázisok nem olyan népszerűek, és igen költségesek is.  

Szakértő kritikája a jelenlegi rendszerről 

Brian Martin belülről figyelte a rendszer fejlődését – és romlását. Az egykori CVE-igazgatósági tag és az Open Source Vulnerability Database eredeti projektvezetője jelenleg egy olyan adatbázison dolgozik, amely felülmúlja azon hivatalos társait, amelyek felügyeletében egykor részt vett. Elmondása szerint a csapatuk több sebezhetőséget dolgoz fel és sokkal gyorsabb átfutási idővel, ráadásul a költségek töredékéért – utalva ezzel a jelenlegi rendszert támogató több tízmilliós kormányzati szerződésekre.  

Martin májusban arról számolt be, hogy adatbázisában több mint 112 ezer olyan sebezhetőség szerepel, amelyek nem rendelkeznek CVE-azonosítóval – vagyis olyan valós biztonsági hibák, amelyek rejtve maradnak azok előtt a szervezetek előtt, amelyek kizárólag nyilvános forrásokra hagyatkoznak. 

Nemzetközi válaszok és technológiai függetlenség 

Miközben az Egyesült Államok vezetése bizonytalan, más országok már előreléptek. Kína például már több sebezhetőségi adatbázist is működtet – ezek közül néhány meglepően átfogó, ugyanakkor kérdéses a hitelességük, mivel – vélhetően – állami ellenőrzés alatt állnak. Májusban az Európai Unió felgyorsította saját adatbázisának elindítását, valamint egy decentralizált Global CVE-architektúrát.  

A közösségi média és a felhőszolgáltatások után a sebezhetőség-felderítés vált a technológiai függetlenségért folytatott verseny újabb frontjává.  

Ez arra kényszeríti a biztonsági szakembereket, hogy sokszor egymásnak ellentmondó adatok között lavírozzanak. Rose Gupta szerint bár ez kissé kaotikus, úgy véli, inkább legyen túl sok információ, mint semennyi. Hozzátette: csapata a nehézségek ellenére is képes több adatbázist figyelni párhuzamosan. 

Szoftverfelelősség és jogi változások 

Miközben a védelmi szakemberek igyekeznek alkalmazkodni a széttöredező információs környezethez, a technológiai iparág egy újabb alapvető kérdéssel kénytelen szembenézni: miért nem vállalnak nagyobb felelősséget a szoftverszállítók ügyfeleik biztonságáért? 

A nagy szolgáltatók évente rutinszerűen több ezer új sebezhetőséget tárnak fel – ám ezek közül nem mindet javítják ki időben. Andrea Matwyshyn, az Egyesült Államok technológiai jogi professzora szerint: „Ez egy jogi fikció, amelyet az egész ökoszisztéma köré építettünk, és ami hosszú távon egyszerűen fenntarthatatlan.”  Mint mondja, sokan azzal érvelnek, hogy a szoftverek egyszerre termékek és szolgáltatások, ami bonyolítja a felelősségi kérdéseket. „De ahogy a mérnöki vagy pénzügyi perek esetében is, még a legösszetettebb ügyeket is meg lehet oldani megfelelő szakértők bevonásával.” 

A mesterséges intelligencia és a jövőbeli kilátások 

Nem meglepő, hogy a szakemberek a mesterséges intelligenciában látják a megoldást az egyre súlyosbodó kapacitáshiányra – miközben már készülnek arra is, hogy az MI-ügynökök által végrehajtott kibertámadások új hulláma hamarosan beköszönt. Biztonsági kutatók már használták az OpenAI egyik modelljét új sebezhetőségek felderítésére, és mind az NVD, mind a CVE csapatai mesterséges intelligencián alapuló eszközök fejlesztésén dolgoznak annak érdekében, hogy hatékonyabbá tegyék az adatgyűjtést, az azonosítást és a feldolgozást. 

Martin azonban óvatosságra int az MI-vel kapcsolatban, és hangsúlyozza, hogy a technológia sikere még nem bizonyított, és gyakran pontatlan, ami a kiberbiztonságban végzetes következményekkel járhat. Helyettte más, automatizált megközelítéseket említ, amelyekkel 99,5 százalékos pontosság biztosítható. 

Nemzetközi együttműködés szükségessége 

Ahogy ezek a különböző reformerőfeszítések lendületet kapnak, a világ kezd ráébredni: a sebezhetőségek feltérképezése – akárcsak a járványügyi megfigyelés vagy a repülésbiztonság – tartós nemzetközi együttműködést és közfinanszírozást igényel. Enélkül csupán a fizetős adatbázisok töredezett hálózata marad fenn, amely hosszú távon azt kockáztatja, hogy a leggazdagabb szervezeteken és országokon kívül mindenki más védelem nélkül marad.