Pažeidžiamumo skaidrumo didinimas naudojant tiekėją-ADP

Nuo 2024 metų Kibernetinio saugumo ir infrastruktūros Security agentūra (CISA) įgyvendino programą “Vulnrichment”, skirtą CVE duomenis praturtinti papildoma informacija. Tikslas yra suteikti papildomą kontekstą ir padėti gynėjams vertinant konkrečią šių pažeidžiamumų riziką. Kiekvienas CVE iš cve.org arba github turi įgaliotojo duomenų leidėjo (ADP) talpyklą, kurioje saugomi šie duomenys.

Kaip kitą lygį “Siemens PSIRT” pasisakė už tolesnį šios srities išplėtimą: Tiekėjas-ADP (SADP), kuris buvo pilotuojamas paskutiniais mėnesiais ir galutinai pristatytas 2026 m. balandį. SADP yra naudingas, jei tiekėjas, pavyzdžiui, “Siemens”, nori pridėti informaciją prie pažeidžiamumo, kuris kyla iš priklausomybės prieš srovę.

Kaip pavyzdį galime paimti CVE-2025-47809. Šis pažeidžiamumas kilęs iš “Wibu CodeMeter” ir jo CVSS balas yra 8,2. “Siemens” tam išleido du patarimus, būtent SSA-201595 ir SSA-331739 informuoti klientus ir pardavėjus saugumo skaitytuvams, kad tam tikri “Siemens” produktai naudoja šį komponentą ir paveldi pažeidžiamumą. Tačiau kai kurie žmonės tiesiogiai nesilaiko “Siemens Security Advisories” ir perima savo informaciją, pvz., iš cve.org - ir dabar jie taip pat gali būti informuoti.

Laikydamiesi dabartinio SADP požiūrio, tikimės, kad pažeidžiamumo skaitytuvai gali padidinti “tikrąjį teigiamą” rodiklį paveiktiems “Siemens” produktams. Ateityje, kai “Siemens” plėsis ir įtrauks “žinomus-nepaveiktus” produktų duomenis į SADP (informacija šiuo metu prieinama tik per saugumo patarimus ir CSAF), tikimės, kad “klaidingų teigiamų rezultatų” skaičius sumažės. “Klaidingi teigiami rezultatai” atsiranda, kai sistemoje įdiegiami pažeidžiami komponentai, tačiau pažeidžiamumo negalima išnaudoti.