CISA busca socios para apuntalar el futuro del Programa CVE

“Si queremos superar a nuestros adversarios en velocidad y maniobrabilidad, primero debemos asegurarnos de que los defensores de todo el mundo operen desde el mismo mapa. Eso es lo que ofrece el Programa CVE: un léxico común de vulnerabilidades reales y explotables”, declaró el jueves Nick Andersen, subdirector ejecutivo de Ciberseguridad.

“CISA ha estado, y seguirá estando, comprometida con la seguridad, la estabilidad y la dirección estratégica de esta infraestructura de misión crítica”.

El plan de CISA

El Programa CVE, establecido hace más de 25 años, actualmente está patrocinado por el Departamento de Seguridad Nacional de EE. UU. a través de la División de Seguridad Cibernética Nacional (NCSD) de CISA.

Está dirigido por la Junta de CVE y la Corporación sin fines de lucro MITRE: la primera toma las decisiones y la segunda administra el programa.

Después de un período de incertidumbre sobre si CISA continuará o no financiando el programa, una decisión de último momento de la agencia aseguró la financiación hasta marzo de 2026 .

CISA ahora le dice al mundo que la agencia está comprometida a mantener los datos CVE «libres y de libre acceso como un bien público», y dice que el Programa CVE «debe ser liderado con un compromiso con la administración libre de conflictos y neutral respecto de los proveedores, una amplia participación multisectorial, procesos transparentes y un liderazgo responsable».

Para fortalecer el programa, CISA planea:

Acelerar la implementación de mejoras tecnológicas (es decir, modernizar)
Garantizar una mejor representación de las organizaciones internacionales y los gobiernos, el mundo académico, los proveedores de herramientas de vulnerabilidad, los consumidores de datos, los investigadores de seguridad, la tecnología operativa y las comunidades de código abierto en el Programa CVE y su consejo asesor.
Incorporar la retroalimentación de la comunidad (global) en las decisiones relativas al desarrollo del programa

También está buscando formas de diversificar el financiamiento del programa, desarrollando mecanismos federados para escalar el enriquecimiento (por ejemplo, Vulnrichment y la capacidad de Publicador Autorizado de Datos (ADP) ), y quiere ayuda de la industria y de los gobiernos internacionales para mejorar la integridad, precisión y puntualidad de los registros CVE.

(El enriquecimiento de datos de vulnerabilidad a través del programa Vulnrichment se estableció luego de la desaceleración del mismo esfuerzo por parte de la Base de Datos de Vulnerabilidad Nacional (NVD) del Instituto Nacional de Estándares y Tecnología de los EE. UU., que actualmente todavía está tratando de ponerse al día).

“Esperamos trabajar con la comunidad para encontrar formas creativas de lograr la calidad, mejorar el esquema CVE y avanzar con soluciones innovadoras que incorporen la automatización, el aprendizaje automático y la inteligencia artificial a la cartera”, afirmó la agencia en su documento de enfoque estratégico .

Fuente y redacción: helpnetsecurity.com / Zeljka Zorz

El plan de CISA

Error de apropiación de cuentas de GitLab explotado activamente (PARCHA!)

CISA agrega fallas de Palo Alto Networks y SonicWall a la lista de vulnerabilidades explotadas

Qué significa la regla de informes CISA para su protocolo de seguridad de TI