DIVD mag gaten nu zelf CVE-nummers geven

Het DIVD is een groepering van securityspecialisten die op vrijwillige basis het internet scannen op bekende én nieuwe kwetsbaarheden. Gevonden gaten worden gemeld bij de eigenaren van de systemen, zodat ze gedicht kunnen worden. In de ruim twee jaar dat de organisatie bestaat, zijn er al diverse grote 'reddingsacties' uitgevoerd, ook binnen de recente Log4j-crisis en de grote Kaseya-hackaanvallen.

Vanaf nu is het DIVD een zogeheten CVE Numbering Authority (CNA), wat betekent dat de organisatie zelf CVE ID's kan toewijzen aan gevonden kwetsbaarheden. Volgens het DIVD is dat erg belangrijk voor haar missie. "In het proces van de gecoördineerde openbaarmaking van kwetsbaarheden zijn tijdigheid en vertrouwelijkheid vaak cruciaal. In het verleden moesten we op andere CNA's vertrouwen om een CVE ID te registreren. Nu we onafhankelijk CVE ID's kunnen registreren, zijn er minder partijen betrokken en kunnen we het proces sneller laten verlopen", aldus de organisatie.

Eigen bug bounty

Het DIVD kan met zijn nieuwe status alle kwetsbaarheden die het zelf vindt gelijk voorzien van een CVE-nummer. Daarnaast kan het gaten gaan registeren die gemeld worden via het eigen bounty-programma dat binnenkort van start gaat. Via dergelijke beloningsprogramma's kunnen beveiligingsonderzoekers kwetsbaarheden die zij vinden melden, zodat deze geregistreerd, onderzocht en gedicht kunnen worden.

Het nieuwe bounty-programma van het DIVD richt zich specifiek op software voor managed service providers en het mkb. Aanbieders van beheerde ICT-diensten zijn interessante doelwitten voor cybercriminelen, zoals de hacks bij Kaseya en SolarWinds al hebben bewezen. Wanneer het DIVD-premieprogramma voor kwetsbaarheden van start gaat, is niet bekendgemaakt.