Una nueva base de datos de vulnerabilidad lanzada por la Unión Europea podría sacudir un ecosistema dominado por los Estados Unidos. Los centros de mesa de ese sistema han sido la base de datos de vulnerabilidad nacional (NVD), mantenida por el Instituto Nacional de Normas y Tecnología de los Estados Unidos (NIST), y el sistema de numeración de vulnerabilidades y exposiciones comunes (CVE), mantenido bajo cotractos por la corporación estadounidense Mitre. Tanto el NVD como el CVE han sido plagado de problemas En los últimos tiempos, que ha abierto la puerta para la oferta europea.
Sylvain Cortes, Vicepresidente de Estrategia de Hackuity, con sede en Lyon, Francia, dijo que la nueva base de datos de vulnerabilidades de la Unión Europea (EUVD) lanzada por la Agencia de la Ciberseguridad (ENISA) es una iniciativa sólida que puede llenar la brecha causada por la reciente reciente problemas de financiación Alrededor del programa CVE de Miter. Agregó que también es incierto si la base de datos MITER continuará existiendo después de que el nuevo contrato de la compañía expire en 10 meses.
«Es una alternativa aún mayor cuando considera el hecho de que el NVD ha sufrido atrasos en el pasado», dijo Cortes.
«En última instancia, necesitamos una fuente para todas las vulnerabilidades que sea confiable y abierta, y esperamos que el nuevo EUVD proporcione esto».-Sylvain Cortés
Ferhat Dikbiyik, director de investigación e inteligencia de Black Kite, dijo que el EUVD es «una señal» de que es un error confiar en una única base de datos de vulnerabilidad.
«Europa quiere un asiento en la mesa cuando se trata de coordinación de vulnerabilidad. Durante años, el mundo se ha basado casi exclusivamente en el sistema CVE. Ha estado funcionando, pero los problemas de financiación recientes muestran el peligro de poner toda nuestra confianza en un solo hilo».-Ferhat Dikbiik
Dikbiyik dijo que el EUVD trae resiliencia. «En ciberseguridad, la redundancia no es un derroche. Es inteligente. Es una práctica común en la ciberseguridad. Entonces, ¿por qué no llevarlo al seguimiento de vulnerabilidad?»
Esto es lo que el equipo de seguridad de su aplicación (APPSEC) sabe sobre el EUVD, y la imagen más grande para la sacudida del ecosistema de la base de datos de vulnerabilidades.
(Ponte al día rápido: El informe de seguridad de la cadena de suministro de software 2025 )
EUVD no está destinado a estar solo
Técnicamente, el EUVD todavía está en beta, dijo Dikbiyik, pero el diseño abierto de la base de datos, el uso de datos legibles por máquina y el proceso de consulta pública muestran que es serio.
«El verdadero desafío ahora es la adopción. Una nueva base de datos es tan fuerte como la comunidad detrás de ella. Si EUVD se convierte en una pista paralela, alineada e interoperable con CVE, podría fortalecer el ecosistema global. Pero si se desplaza en la fragmentación, podría complicar las cosas. Esto es un movimiento estratégico, oportuno, necesario y que valga la pena ver de cerca».–FERHAT DIKBIIK
Un aspecto clave del EUVD es que no es un sistema de gestión de vulnerabilidad independiente. Una declaración de ENISA subraya que la misión del EUVD es proporcionar información agregada, confiable y procesable, como medidas de mitigación y estado de explotación sobre vulnerabilidades de ciberseguridad que afectan los productos y servicios de tecnología de la información y la comunicación (TIC). Su objetivo: garantizar un alto nivel de interconexión de la información disponible públicamente de múltiples fuentes, como Reams de respuesta a incidentes de seguridad informática (CSIRTS), proveedores y bases de datos existentes.
Para cumplir con ese objetivo, la plataforma EUVD está adoptando un enfoque holístico, que incluye soporte para el aspecto de vulnerabilidad, una aplicación de software de código abierto, dijo Enisa en su declaración.
Gary Schwartz, vicepresidente senior de Netrise, dijo que si bien el uso de vulnerabilidades podría complementar las otras bases de datos de vulnerabilidad a nivel mundial al expandir la visibilidad, el valor real de la nueva base de datos proviene de la contextualización y la acción. La gestión efectiva de riesgos requiere convertir los datos sin procesar en ideas priorizadas, especialmente con las regulaciones en evolución, dijo.
«La automatización y el análisis inteligente son críticos aquí. Si el EUVD se integra con marcos de riesgos más amplios, podría mejorar la toma de decisiones, pero no es una solución independiente. Idealmente, habría un consorcio de organizaciones, tanto privadas como públicas, que agregarían datos de las muchas bases de datos de vulnerabilidades que ya existen».-Gary Schwartz
Para cumplir con los requisitos de la Red de la UE y la Directiva de Seguridad de la Información 2 (NIS2), ENISA ha iniciado la cooperación con varias organizaciones de la UE e internacional, incluido el programa CVE de Miter. Además, los datos de CVE, los datos proporcionados por los proveedores de TIC que divulgan la información de vulnerabilidad a través de avisos e información relevante, como el Catálogo de vulnerabilidad explotado (KEV) conocido de la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA), se transfieren automáticamente al EUVD.
Los registros de datos EUVD incluirán una descripción de la vulnerabilidad; Productos de TIC o servicios de TIC y sus versiones afectadas por la vulnerabilidad; la gravedad de la vulnerabilidad y cómo podría explotarse; e información sobre parches u orientación disponibles relevantes existentes proporcionados por las autoridades competentes, incluidas las CSIRT, y dirigida a los usuarios sobre cómo mitigar los riesgos.
La gestión de vulnerabilidad piensa a nivel mundial, actúa localmente
Nathaniel Jones, vicepresidente de seguridad y estrategia de IA en Darktrace, dijo que el EUVD es una victoria para la comunidad global de seguridad cibernética. Si bien habrá problemas operativos que hacer, dijo, los conceptos básicos para mantener la información del programa CVE de Miter y el KEV de CISA son alentadores.
«Además, el estado de la Autoridad de Numeración de CVE (CNA) de la UE ayudará a abordar las brechas de coordinación histórica. También es una gestión de riesgos sólido para evitar puntos de falla individuales en los informes de vulnerabilidad global y puede ayudar a reducir los retrasos en el tiempo de informes».-Nathaniel Jones
Darren Guccione, CEO de Keeper Security, calificó el EUVD un hito significativo en la construcción y la maduración de las defensas de ciberseguridad para Europa, y la comunidad global de seguridad cibernética. «Grandes bases de datos como EUVD ofrecen una transparencia mejorada y un conocimiento compartido al tiempo que proporcionan redundancia crítica para las bases de datos existentes», dijo Guccione.
«El EUVD es un gran ejemplo de lo que puede producir la colaboración a gran escala. EnISA ha demostrado trabajo en equipo y cooperación con CISA y Miter, incorporando datos relevantes del catálogo de KEV y la base de datos de vulnerabilidades y exposiciones comunes. Juntas, estas fuentes hacen que el EUVD sea una potencia de conocimiento para ser consultado en todo el Globe».-Darren Guccione
Julian Brownlow Davies, vicepresidente de servicios avanzados en Bugcrowd, dijo que el EUVD refleja una tendencia más amplia de gobiernos que afirman la soberanía digital en la infraestructura de ciberseguridad. «Si bien es genial ver a Europa invirtiendo en su propia coordinación de vulnerabilidad, el desafío se mantendrá operativamente relevante», enfatizó Davies.
«A diferencia de las fuentes KEV o privadas, como Vulndb, que ofrecen un contexto enriquecido y una priorización de explotación, el EUVD necesitará una integración estricta y un rigor en tiempo real para ser más que un registro paralelo. Hay un riesgo de fragmentación aquí. Los equipos de seguridad no necesitan más bases de datos. Necesitan una mejor señal».-Julian Brownlow Davies
Vaya más allá de las vulnerabilidades: actualice su estrategia APPSEC
Los expertos en políticas señalaron que los cambios en el programa CVE llegan en un momento difícil, con el número de CVE que crecen a un ritmo sorprendente, y los recursos disponibles para analizar esas CVE no lo están, dijo el compañero senior del Consejo de Atlántico, Shane Miller.
«El número de CVE informados está creciendo debido a la tasa creciente de desarrollo de software y una presión creciente para informar públicamente vulnerabilidades de seguridad. El número de desarrolladores de software en todo el mundo creció en un 45% en los últimos dos años, de 26.8 millones a 38.9 millones. Eso es 12 millones más de personas que crean e informan vulnerabilidades de seguridad de software en solo dos años».-Shane Miller
Esta manga de fuego de las vulnerabilidades de software reveladas puede actuar como una distracción ruidosa para los equipos de seguridad, con graves brechas de seguridad de la cadena de suministro pasadas por alto, los expertos enfatizan. Esto se debe a que perseguir vulnerabilidades es esencialmente un ejercicio reactivo. Se dedica mucho tiempo a parchear el software que podría pasar mejor tratando de abordar las amenazas de la cadena de suministro de software antes de que se manifiesten.Un mejor enfoque para la seguridad de la cadena de suministro de software es emplear tecnologías de próxima generación, como el análisis binario complejo y las compilaciones reproducibles para complementar las herramientas de prueba de APPSEC tradicionales, como pruebas de seguridad de aplicaciones estáticas y dinámicas (SAST y DAST), así como el análisis de composición de software (SCA).
El marco de seguridad duradero, un grupo de trabajo público/privado dirigido por la Agencia de Seguridad Nacional (NSA) y CISA, ha pidió el uso de análisis binario y compilaciones reproducibles para identificar y gestionar el riesgo. Estas herramientas más modernas producen información de amenazas procesable sobre el software y los servicios implementados en los entornos de TI. Eso incluye la presencia de malware activo; evidencia de manipulación de software; la ausencia de endurecimiento de la aplicación; y secretos de exposición. Esta estrategia hace que los equipos de seguridad sean más proactivos en su búsqueda para mitigar el riesgo.
Por el contrario, SAST y Dast generalmente se aplican solo a un pequeño subconjunto de sistemas y aplicaciones desarrollados internamente en muchas organizaciones, dijo Saša Zdjelar, directora de confianza de ReversingLabs. Dijo que el uso recomendado del análisis binario y las construcciones reproducibles marcaron un paso adelante significativo para garantizar una mejor seguridad de la cadena de suministro de software
«Nuestra capacidad para analizar binarios es clave para comprender el riesgo en el software de terceros».-Sasha zdjelar