协调漏洞披露现已成为欧盟义务 但文化变革需要时间
在本次Help Net Security采访中,欧盟网络安全局( ENISA)事件与漏洞服务部门负责人Nuno Rodrigues Carvalho讨论了最近的CVE资金危机及其暴露的全球漏洞披露基础设施的脆弱性。他阐述了包括网络弹性法案和NIS2在内的欧盟法规如何为供应商和组织创造更强的问责机制。
CVE项目近期经历了严重的资金危机,MITER与CISA之间的合同险些失效。从欧盟网络安全局的视角来看,这一事件揭示了支撑全球网络安全的漏洞披露生态系统存在怎样的结构性脆弱性?
CVE项目长期以来一直是识别和跟踪公开披露漏洞的全球唯一参考点,这次资金中断凸显了整个生态系统对CVE编号作为共享参考点的依赖程度。虽然我们对CISA与MITER之间合同的具体细节不予置评,但我们强调漏洞管理工作对信息技术基础设施应对网络威胁的韧性至关重要,进而影响全球网络安全对连续性的信任。
对于欧盟而言,我们的监管 milyon运营和韧性成果依赖于企业能够开展有效的漏洞管理工作,而这反过来要求漏洞识别生态系统的稳定性和可持续era。这也是欧盟及其成员国加强这一领域努力的原因之一。
特别是,欧盟网络安全局一直在扩大自身的漏洞服务能力,这不是为了分裂漏洞披露生态系统,而是为了加强欧洲对该生态系统的运营贡献,保持与全球CVE骨干的互操作性,并将现有漏洞信息转化为欧盟范围内的缓解措施和整体风险降低努力,以支持成员国、计算机安全事件响应团队和欧盟内部市场。
