«И так сойдёт». Китай решил построить свой CVE с опечатками и спецслужбами
NewsMakerРазбираемся, где на самом деле скрыты данные о рисках для бизнеса.
Аналитики компании Bitsight изучили , как Китай выстраивает собственную систему учёта уязвимостей на фоне турбулентности вокруг западной инфраструктуры CVE и NVD . Поводом стали сбои в работе Национальной базы уязвимостей США и временная неопределённость с финансированием программы CVE, что заставило рынок внимательнее присмотреться к альтернативным источникам данных.
В центре внимания оказались две государственные базы — China National Vulnerability Database of Information Security, более известная как CNNVD, и Chinese National Vulnerability Database, или CNVD. Первая курируется структурой при Министерстве государственной безопасности КНР, вторая управляется китайской командой реагирования на компьютерные инциденты CNCERT. Базы работают параллельно, используют собственные идентификаторы и по-разному наполняются.
Анализ показал, что большая часть записей в китайских каталогах дублирует данные из CVE. В структурах обеих баз предусмотрены поля для указания CVE-идентификаторов, однако между собой они записи не синхронизируют. При этом в массивах встречаются опечатки и несоответствия формата, что говорит о ручной обработке данных и создаёт сложности при автоматическом сопоставлении. Агрегирование данных из NVD и CVE остаётся основой большинства коммерческих инструментов управления уязвимостями.
Интерес вызвала разница во времени публикации. В подавляющем большинстве случаев сведения о дефектах появляются в китайских базах в тот же день или позже, чем в CVE. Однако около 1400 записей были опубликованы в CNNVD и CNVD раньше, чем соответствующие CVE получили статус публичных. В среднем разрыв составлял около трёх месяцев. Это перекликается с давними опасениями, связанными с тем, как Китай использует сведения об уязвимостях, полученные от иностранных партнёров. Среди примеров — уязвимости в продуктах Siemens, Kubernetes, SAP и WordPress-плагинах, где китайские описания по сути совпадали с тем, что позже появилось в международном каталоге.
Аналитики компании Bitsight изучили , как Китай выстраивает собственную систему учёта уязвимостей на фоне турбулентности вокруг западной инфраструктуры CVE и NVD . Поводом стали сбои в работе Национальной базы уязвимостей США и временная неопределённость с финансированием программы CVE, что заставило рынок внимательнее присмотреться к альтернативным источникам данных.
В центре внимания оказались две государственные базы — China National Vulnerability Database of Information Security, более известная как CNNVD, и Chinese National Vulnerability Database, или CNVD. Первая курируется структурой при Министерстве государственной безопасности КНР, вторая управляется китайской командой реагирования на компьютерные инциденты CNCERT. Базы работают параллельно, используют собственные идентификаторы и по-разному наполняются.
Анализ показал, что большая часть записей в китайских каталогах дублирует данные из CVE. В структурах обеих баз предусмотрены поля для указания CVE-идентификаторов, однако между собой они записи не синхронизируют. При этом в массивах встречаются опечатки и несоответствия формата, что говорит о ручной обработке данных и создаёт сложности при автоматическом сопоставлении. Агрегирование данных из NVD и CVE остаётся основой большинства коммерческих инструментов управления уязвимостями.
Интерес вызвала разница во времени публикации. В подавляющем большинстве случаев сведения о дефектах появляются в китайских базах в тот же день или позже, чем в CVE. Однако около 1400 записей были опубликованы в CNNVD и CNVD раньше, чем соответствующие CVE получили статус публичных. В среднем разрыв составлял около трёх месяцев. Это перекликается с давними опасениями, связанными с тем, как Китай использует сведения об уязвимостях, полученные от иностранных партнёров. Среди примеров — уязвимости в продуктах Siemens, Kubernetes, SAP и WordPress-плагинах, где китайские описания по сути совпадали с тем, что позже появилось в международном каталоге.