О создании cveapi.com и его значении для демократизации кибербезопасности

Авторы сценария Дитер Ван дер Сток и Шайна Раскин.

В Polyverse мы считаем, что демократизация кибербезопасности - единственный верный способ решения проблемы. Подобно тому, как технологии с открытым исходным кодом выигрывают от участия сообщества, демократизация данных позволяет заинтересованному сообществу выйти за пределы возможностей для лучшего и более глубокого понимания самых серьезных угроз сегодняшнего дня.

В интересах большей демократизации данных мы были взволнованы проектом cveapi.com и сразу же предложили всю возможную поддержку для его продвижения. Во время недавнего разговора с Дитером Ван дер Стоком мы спросили, зачем он вообще создал этот ресурс.

«Вкратце: я создал cveapi.com, потому что он мне был нужен, и, к моему удивлению, его еще не существовало. Во всяком случае, не в том виде, в котором мне это было нужно.

В Articulate, компании, в которой я работаю, существует процесс управления уязвимостями, при котором, помимо прочего, мы «открываем файл» по каждой обнаруживаемой нами уязвимости. В этом файле мы собираем всю информацию, которую можем найти, об уязвимости, о том, какие наши службы затронуты и что мы делаем, чтобы исправить это и снизить риск. Эти файлы хранятся и версируются в репозитории Github.

Я писал инструмент для автоматизации некоторых из наиболее утомительных частей этого процесса. Мы активно используем бота Hubot Slack, и моя цель заключалась в том, чтобы кто-нибудь мог сказать: «Открывайте файл на CVE-xxxx-xxxx». Затем Hubot предварительно заполнит файл описанием CVE, серьезностью и несколькими ссылками на рекомендации.

Однако не было никакого API, по которому я мог бы получить эту информацию, что меня очень удивило. Это один из тех моментов, «как это еще не так?». База данных NIST NVD действительно предоставляет потоки данных о CVE в json, сгруппированные по годам. Итак, я пошел на небольшой личный хакатон, чтобы привлечь их и сделать доступными для CVE в форме API.

Первоначальная реакция была довольно хорошей. Похоже, что не я единственный, кто хотел, чтобы это было, так что ура, чесать зуд, верно? Я надеюсь, что он может быть полезен как можно большему количеству людей и компаний. Это все открытые данные (спасибо, MITER и NIST NVD), и всем нам нужен удобный доступ к ним для нашей работы по обеспечению безопасности ».

Узнав, что этот API существует, мы в Polyverse знали, что должны принять участие, потому что, как и Дитер, мы столкнулись с аналогичными проблемами, когда дело касалось инструментов безопасности. Мы не могли понять, почему инструмент, подобный тому, который он создал для CVE, еще не существует. Common Vulnerabilities and Exposures или CVE - это общая структура имен, которую индустрия кибербезопасности предоставляет для широко известных уязвимостей кибербезопасности. Каждый раз, когда выпускается новый эксплойт, его информация загружается в общедоступные базы данных. Наиболее широко используемой центральной базой данных является База данных Common Vulnerabilities and Exposures, поддерживаемая Министерством внутренней безопасности США. Предположительно, чем больше исправлений CVE в системе, тем более безопасной должна быть эта система.

Сегодня CVE, обнаруженные в этих больших базах данных, нелегко найти или использовать. Люди не могут сотрудничать вокруг них или создавать инструменты на их основе. Будь то общий анализ, такой как понимание масштабов и серьезности переполнения буфера по сравнению с использованием слабых паролей, или более сложный поиск, такой как поиск пакета с большинством новых CVE за определенный период, эти подвиги громоздки и требуют тяжелой работы от всех. . Когда мы впервые попытались измерить, какие уязвимости устраняет наш собственный Polymorphic Linux, нам пришлось вручную просмотреть каждую CVE в базе данных. Это был трудоемкий процесс, который невозможно воспроизвести в будущем. Данные ценны только тогда, когда их легко использовать. Когда нет простого способа определить, какие уязвимости требуют наиболее значительных вложений, узнать, делают ли компании и отдельные лица правильные инвестиции в кибербезопасность, непросто.

В Polyverse мы часто думаем над этим вопросом. Мы открыто признаем, что решаем только определенные типы проблем - что у нас получается очень хорошо, - но это еще не все. Мы хотим точно понять, насколько серьезную проблему мы решаем? Это правильное вложение для нашей компании? Если у нас, как у компании, есть такой вариант использования, то и у других в нашей отрасли тоже. Демократизация данных позволяет ВСЕМ идеям процветать и продвигать вперед современные достижения. Сообщество сильнее любой отдельной компании, независимо от ее размера.

Поощряя открытые API, такие как CVE API, мы надеемся помочь решениям процветать, продвигая полезные данные.