Potrivit The Record from Recorded Future News, Agentia pentru Securitate Cibernetica si Infrastructura (CISA) din Statele Unite a anuntat crearea unui formular dedicat prin care cercetatorii, vendorii si partenerii din industrie pot nominaliza bug-uri pentru a fi adaugate in catalogul Known Exploited Vulnerabilities (KEV). Anuntul a fost facut joi si reprezinta o schimbare semnificativa in modul in care agentia federala colecteaza informatii despre amenintari cibernetice active.
Catalogul KEV este unul dintre cele mai importante instrumente de referinta in domeniul securitatii cibernetice la nivel global. Acesta listeaza vulnerabilitatile confirmate ca fiind exploatate activ de catre actori malitioisi, iar agentiile federale americane sunt obligate sa le remedieze in termene stricte. Pana acum, procesul de adaugare a noilor intrari era controlat exclusiv intern de catre CISA, fara o cale formala prin care comunitatea externa sa poata contribui direct.
Deschiderea unui canal oficial de nominalizare poate accelera considerabil viteza cu care vulnerabilitatile periculoase ajung in catalog, reducand fereastra de expunere pentru organizatiile care se bazeaza pe KEV pentru prioritizarea patch-urilor. Cercetatorii independenti si companiile de securitate descopera adesea dovezi de exploatare activa inaintea agentiilor guvernamentale, iar aceasta initiativa valorifica tocmai aceasta capacitate distribuita de detectie.
Initiativa CISA are relevanta si pentru organizatiile din Europa, inclusiv din Romania, care folosesc catalogul KEV ca referinta in strategiile lor de management al vulnerabilitatilor. O actualizare mai rapida si mai cuprinzatoare a catalogului inseamna informatii mai precise pentru echipele de securitate din intreaga lume, intr-un context in care atacurile cibernetice asupra infrastructurii critice sunt in continua crestere.
