С 12 февраля 2024 года Национальный институт стандартов и технологий США (NIST) почти полностью прекратил поддержку Национальной базы данных уязвимостей, более известной как NVD.
NVD – это наиболее часто используемая база данных программных уязвимостей в мире.
Том Пейс, генеральный директор NetRise, сообщил, что только 200 из 2700 уязвимостей, известных как Common Vulnerabilities and Exposures (CVEs), опубликованных с этой даты, были дополнены.
Не поддержка актуальности CVEs означает, что более 2500 уязвимостей, добавленных в базу данных, были загружены без полной информации.
Эта информация включает описание уязвимости и программной “слабости”, которая может привести к эксплуатации (известной как Common Weakness and Exposure или CWE), названия пострадавших программных продуктов, критический балл уязвимости (CVSS) и статус исправления уязвимости.
Что произошло?
Проблему впервые обнаружил Джош Брессерс, вице-президент Anchore, который опубликовал блог 8 марта, показывая значительное снижение объема данных обновления в NVD с примерно 12 февраля.
Джерри Гамблин, главный инженер Cisco Threat Detection & Response, поделился еще одним графиком, который показывает значительное снижение количества CVEs со статусом “проанализировано”, что означает, что они были полностью документированы, и увеличение количества CVEs “ожидают анализа” по сравнению с 2023 годом.
Другие публикации от Гамблина и NetRise также указывали на подобное снижение количества опубликованных CVEs, дополненных важными метаданными, такими как CWEs, Common Product Enumerators (CPEs) и CVSS.
Таким образом, несмотря на то, что новые уязвимости публикуются, они в настоящее время не привязаны к конкретным продуктам, оставляя организации в неведении относительно того, какие продукты и системы в их окружении могут быть уязвимыми.
Дэн Лоренц, соучредитель и генеральный директор Chainguard, прокомментировал: “Судя по всему, NVD полностью отказалась от добавления CPE-соответствий к CVEs, что означает, что записи CVE не содержат никаких метаданных о том, какое программное обеспечение на самом деле пострадало.”
13 марта Брессерс из Anchore поделился обновленной версией первого графика, подтверждая, что за последние 30 дней очень немногие CVEs были дополнены.
Что случилось с NVD: проблематика, последствия, решения?
Если такие проблемы не будут быстро решены, они могут значительно сказаться на сообществе исследователей по безопасности и всех организациях по всему миру. Пейс из NetRise объяснил:
“Это означает, что вы просто пытаетесь требовать от всего сообщества кибербезопасности, чтобы в одну ночь они как-то выяснили, какие уязвимости в какой операционной системе, программном пакете, приложении, микропрограмме или устройстве есть. Это абсолютно невозможная и неприемлемая задача!”
Лоренц согласился и назвал событие “масштабной проблемой”. “Теперь мы надеемся на индустриальные уведомления и социальные сети, чтобы как можно быстрее просматривать CVE”, – сказал он.
“Сканеры, анализаторы и большинство инструментов уязвимостей опираются на NVD, чтобы определить, какое программное обеспечение пострадало от каких уязвимостей”, – добавил Лоренц. “Если организации не могут эффективно просматривать уязвимости, это увеличивает их риск и оставляет значительную пробел в их позиции по управлению уязвимостями.”
Что предлагает NIST?
15 февраля сайт Национальной базы данных уязвимостей объявил, что пользователи могут столкнуться с “задержками в усилиях по анализу”, поскольку NIST “в настоящее время работает над созданием консорциума для решения проблем в программе NVD и разработки улучшенных инструментов и методов.”
Крис Хьюз, президент Aquia, заявил, что это сообщение не предоставляет достаточной информации для сообщества безопасности.
“Что это за консорциум, кто будет включен, какие изменения будут внесены и какие задержки мы увидим в промышленности, когда речь идет об анализе уязвимостей из самой широко используемой базы данных уязвимостей?” – написал Хьюз.
“Мы раскрывали и обновляли уязвимости по той же самой процедуре в течение многих лет, и это было довольно эффективно. Зачем нам нужен консорциум сейчас?” – написал Пейс из NetRise.
На момент написания статьи, сайт NVD не опубликовал никаких дополнительных публичных объявлений.
Что может помочь с проблемами NVD?
24 мая 2024 года доктор Кармит Ядин, CEO DeviceTotal опубликовала в своем LinkedIn заявление, указывая на вариант решения проблем с NVD:
“Последние изменения в работе NIST NVD вызвали беспокойство среди исследователей и практикующих специалистов. Эти изменения привели к задержкам в анализе уязвимостей и заметному снижению качества дополнений CVEs важной информацией, такой как CPEs, оценки CVSS, CWEs и ссылки, что создает значительные препятствия для организаций, которые стремятся эффективно выявлять и приоритизировать уязвимости.
Встречайте DeviceTotal, революционное решение, которое может помочь в решении этой сложной ситуации. Наша технология, основанная на искусственном интеллекте, выводит управление уязвимостями на новый уровень, предлагая существенные улучшения в точности, скорости и автоматизации.
DeviceTotal получает информацию о безопасности непосредственно от поставщиков, обеспечивая обновление данных еще до их поступления в NVD. Такой проактивный подход предоставляет организациям своевременную информацию, что позволяет быстро и обоснованно принимать меры по снижению угроз.
Более того, DeviceTotal предоставляет практические рекомендации по каждой угрозе, предлагая точные указания относительно доступных обновлений, вариантов смягчения, обходных путей, уведомлений о завершении срока службы и многое другое. И лучше всего? Никаких агентов, никаких установок.”
Источник: Infosecurity
