עלייה מטאורית במספר דיווחי הפרצות במוצרים טכנולוגיים ב-2020: "נקודות תורפה להאקרים"

מערך הסייבר הלאומי הצטרף לתוכנית הבין-לאומית לרישום פגיעויות במוצרים טכנולוגיים. ארגון MITRE המפעיל את התוכנית הבין-לאומית לדיווח ולקיטלוג של פגיעויות שהתגלו במוצרים טכנולוגיים, אישר השבוע את מערך הסייבר הלאומי כגוף מוסמך לרישום פגיעויות וחשיפות נפוצות (CVE) ברשימה העולמית.

על פי מערך הסייבר, פגיעויות הן חולשות, נקודות תורפה בטכנולוגיות, שעלולות להביא לתקיפת סייבר דרכן. כדי לשמור על שפה אחידה בין חוקרי סייבר ואנשי מיחשוב ולתעדף טיפול בסגירת חולשות, כל חולשה שמתגלה בעולם מקוטלגת על פי רמת חומרתה ומוקצה לה מזהה ייחודי עולמי. במסגרת התוכנית, 178 ארגונים מרחבי העולם מוסמכים להקצות מספר מזהה CVE במטרה לזהות, להגדיר ולקטלג באופן פומבי חולשות סייבר ולמנוע ככל האפשר מצב שבו מתפרסמת חולשה פומבית ללא עדכון אבטחה בצידה.

בשנים האחרונות כמות החולשות המתגלות ומדווחות גדלה משמעותית. בעוד שב-2016 דווחו במסגרת התוכנית כ-6,500 חולשות עולמיות, בשנת 2020 דווחו יותר מ-18 אלף. סך הכל, נרשמו במסגרת התוכנית מאז הקמתה כ-156 אלף חולשות.

נכון להיום היתר להקצאת מספרי חולשות ניתן ל-177 ארגונים מ-30 מדינות בעולם, כ-100 מתוכם מארה"ב. רוב הארגונים שקיבלו הסמכה להקצאת מספרים הן חברות טכנולוגיה להן מוצרים פופולריים מאוד ברחבי העולם. בין המוכרות: אפל, סיסקו, דל, פייסבוק, גוגל, HP, אינטל, IBM ומיקרוסופט.

עלייה מטאורית במספר דיווחי הפרצות במוצרים טכנולוגיים ב-2020: "נקודות תורפה להאקרים"

בישראל, שלוש חברות סייבר מוסמכות לחתום ולהקצות מספרי חולשות במוצריהן בלבד: צ'ק פוינט, סייברארק, ו-cybellum. בשונה מחברות פרטיות, להן ניתן היתר לחתום על חולשות שנמצאו רק במוצרים שלהן, למערך הסייבר הלאומי ניתן היתר לחתום על כל חולשה שדווחה למערך או שנמצאה על ידו ועומדת בקריטריונים. בעולם, היתר לגוף מדינתי ניתן רק למערך הסייבר האמריקאי (CISA) וליפן.

תהליך רישום חולשה מתחיל בדיווח למערך באמצעות טופס דיווח מיוחד באתר, בדיקה של החולשה ועל מה היא משפיעה על ידי המערך ותהליך קצר מול יצרן הטכנולוגיה שבה התגלתה החולשה. החולשה תירשם באופן פומבי רק ברגע שמופץ לה עדכון אבטחה מהיצרן הרלוונטי. לאחר מכן, מקצה המערך מספר מזהה ייחודי לחולשה ומפרסמה באתר CVE. מדווח/ת החולשה מקבל הוקרה הן באתר העולמי והן באתר מערך הסייבר הלאומי.

לאחר שהחולשה מתגלה ונבדקת, מוקצה לה מספר סידורי והיא מפורסמת ברשימת העולמית של החולשות העולמית. אנשי מחשוב וסייבר משתמשים בקיטלוג של החולשות כדי לדבר בשפה משותפת ולתעדף את הטיפול בסגירת החולשות.

ההצטרפות של המערך לתוכנית אינה כרוכה בתשלום, אלא בעמידה בשורה של קריטריונים מקצועיים. באחרונה החלו במערך בהקמת צוות מיוחד שעיקר עיסוקו יהיה צמצום חולשות ופגיעויות במרחב הסייבר הישראלי. ההצטרפות לתוכנית הבין-לאומית היא חלק מתוכנית רחבה יותר של המערך לצמצום חולשות שתושק בקרוב.

Print Friendly, PDF & Email

רק מה שמעניין וחשוב לדעת! הצטרפו לוואטסאפ העדכונים של ניוזרום - בלי חפירות, רק דיווחים:

נגישות
גלילה לראש העמוד
דילוג לתוכן