Onderzoekers pleiten voor CVE-meldingen voor cloud-kwetsbaarheden
Twee beveiligingsonderzoekers pleiten voor een nieuw systeem om kwetsbaarheden in cloud-software te melden. Het systeem moet voor betrokken organisaties en onderzoekers inzichtelijk zijn en daarmee gaan lijken op het CVE-systeem om lekken in software door te geven. De onderzoekers werken aan zo'n 'CVE voor de cloud'-systeem.
© CC0/Pixabay License
CC0/Pixabay License
De onderzoekers - Ami Luttwak en Shir Tamari van beveiligings-start-up Wiz.io - deden de oproep voor een nieuw meldingssysteem laatst op Black Hat USA 2021. Ze presenteerden daar kwetsbaarheden in Amazon Web Services (AWS) waarmee ze data van verschillende AWS-accounts konden inzien.
Ook konden ze gegevens van het ene AWS-account ongevraagd naar een ander AWS-account sturen. Een woordvoerder van AWS zegt tegenover Darkreading echter dat dit geen kwetsbaarheden zijn maar configuratie-opties die zelf in te stellen zijn.
'CVE voor de cloud'
Volgens de beveiligingsonderzoekers maken de kwetsbaarheden in AWS en andere cloud-software duidelijk dat de branche behoefte heeft aan één database met alle kwetsbaarheden in cloud-software. Een database waar zowel cloud-organisaties als beveiligingsonderzoekers bij kunnen om kwetsbaarheden te delen en te besturen. Zo'n database is er nog niet. Voor reguliere software bestaat er wel al zo'n database genaamd CVE - Common Vulnerabilities and Exposures. Een groot deel van de techwereld is betrokken bij deze database.
Daarom hopen de twee beveiligingsonderzoekers dat hun 'CVE voor de cloud'-database ook van de grond komt. Ze hebben de Cloud Security Alliance (CSA) al benaderd met een concept, noteert Darkreading op basis van de Black Hat-presentatie en een interview met Tamari. "We moeten in staat zijn om kwetsbaarheden te melden en duidelijke registratienummers hebben zodat klanten en leveranciers de kwetsbaarheden kunnen bijhouden, en hebben scores nodig om de kwetsbaarheden op basis van prioriteit op te lossen."
Kwetsbaarheden als CVE-meldingen
Het systeem achter de CVE-database heeft zich inmiddels ruimschoots bewezen in de industrie. Hoewel voor buitenstaanders onduidelijk is waar een melding als CVE-2017-11882 voor staat, weten betrokken partijen met één zoekopdracht dat dit een lek in Microsoft Office is. Bij de melding wordt aangegeven wat het lek precies inhoudt en of er al een bugfix voor is.
Vrijwel alle gerenommeerde techbedrijven doen mee aan de CVE-database. Uit onderzoek van internationale beveiligingsorganisaties, waaronder de FBI en de CISA, blijkt dat veel van de meest uitgebuite kwetsbaarheden een CVE-vermelding hebben. Omdat CVE-meldingen een score hebben die aangeeft hoe kritiek het lek is, kunnen betrokken organisaties in één opslag zien of ze direct actie moeten ondernemen of dat een ander lek voorrang behoeft.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee