欧盟网路安全管理署(ENISA)
欧盟网路安全管理署(European Union Agency for Cybersecurity,ENISA)周一(5/13)宣布,欧盟漏洞资料库(European Vulnerability Database,EUVD)已正式上线,这是一个互连资料库,目标是确保来自不同来源的公开漏洞资讯得以互通,同时采用CVE(Common Vulnerabilities and Exposures,常见漏洞披露)编号与EUVD编号。外界则将它视为美国CVE资料的替代品。
最近漏洞资料库特别受到瞩目,是因为原本受到全球仰赖的CVE资料库传出可能停摆的消息,主要是美国总统川普(Donald Trump)大砍行政预算,使得美国国土安全部未能与负责维护CVE资料库的非营利组织MITRE续约,双方合约的到期日为4月16日。
CVE最初的设计目的是成为全球安全漏洞的唯一编号,并由CVE编号机构(CVE Numbering Authority,CNA)负责分配,全球约有来自39个国家的353个CNA,像是Adobe、苹果、Amazon、Google、微软或众多资安业者都有权分配CVE,而ENISA也在2024年1月成为CNA。
此外,其实ENISA在欧盟网路与资讯安全2指令(Network and Information Security 2 Directive,NIS2)的要求下,已于去年6月著手开发EUVD,只是一直到CVE出现可能不稳定的讯号才加快脚步,于今年4月展开封闭测试,本月正式上线。
至此,EUVD所扮演的角色也从著重于欧盟地区扩大到全球。ENISA说明,EUVD的目标是确保各国的电脑资安事件应变小组(Computer Security Incident Response Team,CSIRT)、供应商与现有漏洞资料库等不同来源的资讯能够互连与互通,采用可管理及查询多个来源之漏洞资讯的Vulnerability-Lookup开源软体,来促进漏洞的关联性,以强化网路安全风险管理。
EUVD提供3种检视仪表板,一是CVSS风险评分超过9的重大(Critical)漏洞,二是已被利用(Exploited)的安全漏洞,三则是来自EU CSIRT协调的安全漏洞,此外,EUVD不仅采用CVE编号,每个CVE编号还会有相对应的EUVD编号。
ENISA解释,EUVD编号是建立在CVE编号系统之上,如果某个漏洞已符合CVE的编号范围,就会采用CVE编号,而EUVD则是用来整合并强化漏洞资讯。
从另一个角度看,这或许是因为CVE编号是由美国MITRE及CNA网路管理,EUVD则是由欧盟管理,确保欧盟的数位主权;此外,有些漏洞不属于CVE的收录范围,但可能会被列入EUVD;欧盟也可能需要透过EUVD收录与追踪来自欧盟成员国,或者是对欧盟影响重大的安全漏洞。
ENISA表示,该组织正与MITRE联系,以了解有关CVE的后续发展与影响,而且不管是CVE资料,或是由ICT供应商所提供的资料,都会自动转移至EUVD。