DIVD wordt CVE Numbering Authority

De Nederlandse security organisatie DIVD is door het CVE-programma geautoriseerd als een CNA, waardoor het CVE-ID's kunnen registreren. CVE is een internationale, op de gemeenschap gebaseerde inspanning en vertrouwt op de gemeenschap om kwetsbaarheden te ontdekken. De kwetsbaarheden worden ontdekt en vervolgens toegewezen en gepubliceerd op de CVE-lijst.

Het Dutch Institute for Vulnerability Disclosure (DIVD) scant het internet op veelvoorkomende beveiligingslekken, kwetsbaarheden en blootstellingen met een hoge impact, open databanken en zero-day-aanvallen. Deze meldt het DIVD bij de eigenaren van de systemen, ongevraagd en gratis. Het DIVD levert hiermee een belangrijke bijdrage aan de cyberweerbaarheid van Nederland. Ook is het instituut een platform voor experts van beveiligingsbedrijven die gezamenlijk onderzoek doen om het internet veiliger te maken. Hier heeft het mkb heeft voordeel van.

Frank Breedijk, Manager DIVD CSIRT, meldt in een blog: "Met grote vreugde kondigen wij aan dat wij per 1 februari zijn toegetreden tot 'de CVE Community als CVE Numbering Authority (CNA). Als CNA zijn we in staat om snel en discreet CVE-ID's te registreren en op de CVE-lijst te publiceren. Dit kunnen we doen voor nieuwe kwetsbaarheden die zijn ontdekt door onze eigen onderzoekers en die aan ons zijn gemeld, bijvoorbeeld via ons binnenkort te verschijnen bountyprogramma voor MSP- en MKB-software.

CVE-ID's zijn unieke nummers die worden toegewezen aan kwetsbaarheden die de beveiligingsgemeenschap helpen door een unieke ID voor een kwetsbaarheid te verstrekken en zo misverstanden en miscommunicaties te verminderen bij het bespreken of verwijzen naar kwetsbaarheden. Ze maken kwetsbaarheidsbeheer en onderzoek effectiever en efficiënter.

In staat zijn om zelf CVE-records te creëren, is belangrijk voor onze missie. We willen de digitale wereld veiliger maken door kwetsbaarheden in digitale systemen te melden aan de mensen die ze kunnen repareren.

In het gecoördineerde proces van openbaarmaking van kwetsbaarheden (CVD) zijn tijdigheid en vertrouwelijkheid vaak cruciaal. In het verleden waren we afhankelijk van andere CNA's om een CVE-ID te registreren. Nu we zelfstandig CVE ID's kunnen registreren, zijn er minder partijen bij betrokken en kunnen we het proces versnellen. Daarnaast helpen we de hele CVE-gemeenschap.

De missie van het CVE®-programma, het identificeren, definiëren en catalogiseren van openbaar gemaakte kwetsbaarheden in cyberbeveiliging, komt grotendeels overeen met die van ons, en we zijn er trots op lid te zijn van de CVE-gemeenschap."