Senhasegura, leverancier van de gelijknamige privileged access management (PAM) oplossing, kondigt vandaag aan dat het door het CVE Program is erkend als een CVE Numbering Authority (CNA). Als CNA kan Senhasegura CVE’s toewijzen aan kwetsbaarheden in zijn eigen producten. Senhasegura maakt nu deel uit van een elitegroep van CNA-organisaties over de hele wereld die zich inzetten voor het snel ontdekken en correleren van informatie over kwetsbaarheden.
Identiteitsbeheer is voor bedrijven een van de meest kritische aspecten van IT- beveiliging geworden. Volgens onderzoekvan de Identity Defined Security Alliance (IDSA) heeft meer dan 84% van de organisaties het afgelopen jaar te maken gehad met aan identiteiten gerelateerde beveiligingsincidenten. De PAM-oplossing van Senhasegura helpt organisaties bij het verkrijgen van tijdige, nauwkeurige en bruikbare informatie voor het verminderen van kwetsbaarheden en het verlagen van het risico op aanvallen.
Voor Marcus Scharra, CEO van Senhasegura, gaat de erkenning als CNA binnen het CVE Program verder dan alleen een technische bijdrage; het omvat ook het sociale aspect van IT-beveiliging. “Senhasegura is nu meer dan alleen een leverancier van IT-beveiligingsoplossingen. Wij zijn nu lid van een wereldwijde gemeenschap die sterker staat tegen de toenemende dreiging van cybercriminaliteit. We identificeren, onderzoeken anomalieën en problemen en we communiceren daarover. We adviseren echter ook over de oplossing en het te volgen pad voor het voorkomen van incidenten. We zijn vereerd dat we de CNA-status krijgen en tot de CNA-gemeenschap toe mogen treden. Dit soort samenwerking geeft iedereen de mogelijkheid om zijn bedrijf veilig en gezond te houden.”
Als CNA-partner zal Senhasegura zijn eigen CVE-archief creëren en bijhouden. Het bedrijf zal ook deelnemen aan forums over kwetsbaarheden en organisaties adviseren over de juiste manier om hun systemen te updaten. Hiervoor heeft Senhasegura een comité opgericht van beveiligingsexperts op het gebied van CVE-gerelateerde vraagstukken.
Over het CVE Programma
Volgens de officiële website, is het Common Vulnerabilities and Exposures (CVE)-programma een referentiesysteem (CVE List) voor openbaar bekende gebreken in IT-beveiliging. Het CVE Program staat onder toezicht van het National Cybersecurity FFRDC van de Verenigde Staten. Een CVE is een beveiligingslek waaraan een CVE-ID is toegekend. In hun beveiligingsadviezen verwijzen leveranciers en onderzoekers bijna altijd minstens naar één CVE-ID. Deze gestandaardiseerde aanpak helpt IT-professionals bij het coördineren van hun taken om deze kwetsbaarheden te prioriteren en aan te pakken.
De CVE Board houdt toezicht op de activiteiten van het CVE Program en bepaalt de strategische richting ervan. Het secretariaat (momenteel The MITRE Corporation) biedt administratieve en logistieke ondersteuning aan de CVE Board en onderhoudt de infrastructuur van het CVE Program.
In 2016 is het CVE Program begonnen met het uitbreiden van het aantal organisaties dat deelneemt als CVE Number Authorities (CNA’s). CNA-partners stellen gezamenlijk de CVE List samen. Er zijn momenteel 245 bedrijven in meer dan 35 landen erkend als CNA. Hiertoe behoren de grote IT-leveranciers, zoals Red Hat, IBM, Cisco, Oracle en Microsoft, maar ook beveiligingsbedrijven en onderzoeksorganisaties. MITRE kan ook rechtstreeks CVE’s uitgeven.
Wat komt in aanmerking voor een CVE?
CVE ID’s worden toegewezen aan gebreken die aan een specifieke reeks criteria voldoen:
1. Onafhankelijk herstelbaar. De kwetsbaarheid kan onafhankelijk van andere bugs worden hersteld.
2. Erkend door de betrokken leverancier OF gedocumenteerd. De leverancier erkent de bug en dat deze een negatief effect heeft op de beveiliging. Of, de melder moet een kwetsbaarheidsrapport hebben gedeeld dat de negatieve impact van de bug aantoont EN dat deze het beveiligingsbeleid van het getroffen systeem schendt.
3. Impact hebben op één codebase. Gebreken die meer dan één product treffen, krijgen afzonderlijke CVE’s.