Nøglefunktioner og fordele ved EUVDB

Eskil Sørensen
05.05.2025 11:36
EPSS-scoren får langt om længe en fremtrædende plads.

En sneak peek ind i den europæiske sårbarhedsdatabase lover godt for sårbarheds- og sikkerhedsmiljøet. Sådan må den første analyse af sårbarhedsdatabasen lyde, efter at DKCERT har kigget ned i databasen efter den silent launch, som er sket inden for de seneste par uger. Der er nemlig tegn på at ENISA har lært af andres erfaringer.

Ifølge beskrivelsen er EUVDB ”..designet til at tilbyde en række funktioner og fordele, der adresserer manglerne hos eksisterende sårbarhedsdatabaser og tilpasser sig de specifikke behov hos det europæiske cybersikkerhedssamfund. ” 

Ifølge ENISAs selv indebærer det følgende:

  • Omfattende dækning: EUVDB stræber efter at levere et omfattende katalog over sårbarheder, der dækker et bredt spektrum af software, hardware og services. Dette inkluderer sårbarheder, der måske ikke er inkluderet i CVE-systemet eller andre offentlige databaser.
  • Uafhængig og transparent styring: EUVDB opererer under et transparent styringssystem med klare retningslinjer for sårbarhedsvurdering, scoring og offentliggørelse.  
  • Mere detaljeret og kontekstualiseret information: EUVDB tilbyder mere dybdegående information om sårbarheder, herunder detaljerede beskrivelser, konsekvensvurderinger og afbødningsstrategier. 
  • Understøttelse af flere sprog: EUVDB understøtter flere sprog, hvilket gør den mere tilgængelig for brugere i hele Europa. (Dette ser dog ikke ud til at være tilgængeligt endnu).

Bedre brugervenlighed og funktionalitet

Set fra denne skribents side er der flere, andre åbenlyse fordele, selvom databasen udefra betragtet ligner en hvilken som helst database, der bare skal vise noget data:

  • EPSS-scoren for de enkelte sårbarheder fremgår af forsiden, hvilket gør at man hurtigt får overblik over hvor man skal prioritere sin tid. EPSS-scoren står for Exploit Prediction Scoring System og er en vurdering af sandsynligheden for at en sårbarhed bliver udnyttet. Scoring angives i procent fra 0-100. 
  • Bedre overblik: Fra forsiden giver databasen adgang til tre dashboards: En liste med de nyeste, kritiske sårbarheder, en liste med nyeste, udnyttede sårbarheder og en liste med” EU CSIRT coordinated sårbarheder”. At sårbarheder er EU CSIRT-coordinated betyder, at de håndteres på en struktureret måde, hvor informationen valideres, vurderes og deles ansvarligt. 
  • Søgemuligheder: Forsiden indeholder en søgefunktionalitet, så man kan søge på produkt, producent, CVSS-score, dato for offentliggørelse mv

Endelig tilbyder databasen også alternative identifikatorer. EUVDB anvender sit eget nummereringssystem, som er nedarbejdet fra CVE-systemets taksonomi. Således hedder en sårbarhed i EUVDB fx "EUVD-2025-xxxx", mens en tilsvarende sårbarhed i CVE-sproget hedder "CVE-2025-xxxx".  

Forskellige nummereringssystemer er aldrig godt for forståeligheden, men ENISA har truffet det strategiske valg at distancere sig fra CVE-systemet. 

Hvor står EU's sårbarhedsdatabase så, når det handler om få databasen til at styrke sikkerheden hos den almindelige, ikke-sikkerhedsprofessionelle leder, medarbejder og borgeren?

Ja, det har ENISA ikke fundet noget svar på endnu, men databasen er begyndelsen på noget bedre.  

DKCERT vil fremover - så vidt det er muligt - anvende begge nummereringsprincipper, når vi omtaler sårbarheder.

Læs mere

Information