З 12 лютого 2024 року Національний інститут стандартів і технологій США (NIST) майже повністю припинив підтримку Національної бази даних вразливостей, більш відомої, як NVD.
NVD – це найбільш використовувана база даних програмних вразливостей у світі.
Том Пейс, генеральний директор NetRise, повідомив, що лише 200 з 2700 вразливостей, відомих як Common Vulnerabilities and Exposures (CVEs), опублікованих з цієї дати, були доповнені.
Не підтримка актуальності CVEs означає, що понад 2500 вразливостей, доданих до бази даних, були завантажені без повної інформації.
Ця інформація включає опис вразливості та програмної “слабкості”, яка може призвести до експлуатації (відомої як Common Weakness and Exposure або CWE), назви програмних продуктів, що постраждали, критичний бал вразливості (CVSS) і статус виправлення вразливості.
Що сталось?
Проблему вперше виявив Джош Брессерс, віцепрезидент Anchore, який опублікував блог 8 березня, показуючи значне зниження оновлення даних у NVD з приблизно 12 лютого.
Джеррі Гамблін, головний інженер Cisco Threat Detection & Response, поділився ще одним графіком, який показує значне зниження кількості CVEs зі статусом “проаналізовано”. Це означає, що вони були повністю документовані, та збільшення кількості CVEs “чекають на аналіз”, у порівнянні з 2023 роком.
Інші публікації від Гамбліна та NetRise також вказували на подібне зниження кількості опублікованих CVEs, доповнених важливими метаданими, такими як CWEs, Common Product Enumerators (CPEs) та (CVSS).
Таким чином, попри те, що нові вразливості публікуються, вони наразі не прив’язані до конкретних продуктів. Такими діями, вони залишають організації в нерозумінні стосовно того, які продукти та системи у їхньому середовищі можуть бути вразливими.
Ден Лоренц, співзасновник та генеральний директор Chainguard, прокоментував: “Схоже, що NVD повністю відмовилася від додавання CPE-відповідностей до CVEs, а це означає, що записи CVE не містять жодних метаданих про те, яке програмне забезпечення насправді постраждало.”
13 березня Брессерс з Anchore поділився оновленою версією першого графіка, підтверджуючи, що зовсім небагато CVEs були доповнені за останні 30 днів.
Чому це може стати великою проблемою?
Якщо такі проблеми не будуть швидко вирішені, вони можуть значно позначитися на спільноті дослідників з безпеки та всіх організаціях по всьому світу. Пейс з NetRise пояснив:
“Це означає, що ви просто намагаєтесь вимагати від всієї спільноти кібербезпеки, щоб в одну ніч вони якось з’ясували, яка вразливості в якій операційній системі, програмному пакеті, додатку, мікропрограмі чи пристрої наявні. Це абсолютно неможлива та неприйнятна задача!”
Лоренц погодився і назвав подію “масштабною проблемою”. “Тепер ми сподіваємося на індустрійні сповіщення та соціальні мережі, щоб переглядати CVE якнайшвидше”, – сказав він.
“Сканери, аналізатори та більшість інструментів вразливостей спираються на NVD, щоб визначити, яке програмне забезпечення постраждало від яких вразливостей, “- додав Лоренц. “Якщо організації не можуть ефективно переглядати вразливості, це збільшує їх ризик і залишає значну прогалину в їхній позиції з управління вразливостями.”
Що пропонує NIST?
15 лютого вебсайт Національної бази даних вразливостей оголосив, що користувачі можуть зазнавати “затримок з аналізом”. Це може відбуватись, оскільки NIST “зараз працює над створенням консорціуму для розв’язання проблем з NVD та розробки покращених інструментів та методів.”
Кріс Хьюз, президент Aquia, сказав, що це повідомлення не надає достатньо інформації для спільноти безпеки.
“Що саме це за консорціум, хто буде включений, які зміни будуть зроблені та які затримки ми побачимо у промисловості, коли йдеться про аналіз вразливостей з найширше використовуваної бази даних вразливостей?” – написав Хьюз.
“Ми розкривали та оновлювали вразливості за тією ж самою процедурою протягом років, і це було досить ефективно. Чому нам потрібен консорціум зараз?” – написав Пейс з NetRise.
На момент написання статті, вебсайт NVD не оприлюднив жодних додаткових публічних оголошень.
Що може допомогти з NVD проблемами?
24 травня 2024-го року Доктор Карміт Ядін, CEO DeviceTotal виклала до свого ЛінкедІну заяву, зазначаючи варіант розв’язання проблем з NVD:
“Останні зміни в роботі NIST NVD викликали тривогу серед дослідників і практиків. Ці зміни призвели до затримок в аналізі вразливостей і помітного зниження якості доповнення CVEs важливими даними, такими як CPEs, CVSS оцінки, CWEs та посилання, що створює значні перешкоди для організацій, які прагнуть ефективно виявляти та пріоритезувати вразливості.
DeviceTotal, революційне рішення, яке може допомогти у вирішенні цієї складної ситуації. Наша технологія, що базується на штучному інтелекті, виводить управління вразливостями на новий рівень, пропонуючи суттєві покращення в точності, швидкості та автоматизації.
DeviceTotal отримує інформацію про безпеку безпосередньо від постачальників, забезпечуючи оновлення даних ще до їхнього надходження до NVD. Такий проактивний підхід надає організаціям своєчасну інформацію, що дозволяє швидко та обґрунтовано вживати заходів для зменшення загроз.
Щобільше, DeviceTotal надає практичні рекомендації щодо кожної загрози. Компанія пропонує точні вказівки щодо доступних оновлень, варіантів пом’якшення, обхідних шляхів, повідомлень про закінчення терміну служби та багато іншого. І найкраще? Жодних агентів, жодних установок.”
Джерело: Infosecurity
