ABD Siber Güvenlik ve Altyapı Ajansı (CISA), NIST Ulusal Güvenlik Açığı Veritabanının son yavaşlamasının yarattığı CVE zenginleştirme açığını doldurmayı amaçlayan yeni bir proje olan “Vulnrichment”in oluşturulduğunu duyurdu.
NVD başarısız oluyor
1999’dan bu yana NVD analistleri, her girişi etki ölçümleri (CVSS), güvenlik açığı türleri (CWE), uygulanabilirlik bildirimleri (CPE), güvenlik bağlantılarıyla “zenginleştirmek” için bunlar hakkındaki genel verileri analiz ettikten sonra veritabanına CVE numaralı güvenlik açıkları ekliyor. tavsiyeler ve daha fazlası.
Bu veritabanı, kuruluşların sistemlerini etkileyen güvenlik açıklarının keşfedilmesini ve ele alınmasını otomatikleştirmek için birçok güvenlik açığı değerlendirme ve yönetim aracı tarafından kullanılır.
Ancak çoğu aracın bu verileri sağlamak için yalnızca NVD’ye güvenmediğini de belirtmek gerekir. Bununla birlikte, NIST analistlerinin yılın başından bu yana aldıkları 14280 CVE’den yalnızca 4523’ünü analiz etmeyi başarmış olmaları giderek daha fazla sorun teşkil ediyor.
NVD analistleri en önemli güvenlik açıklarının analizine öncelik verse de birikmiş iş yükü artıyor. NIST, bu yavaşlamanın arkasında “yazılımdaki ve dolayısıyla güvenlik açıklarındaki artışın yanı sıra kurumlar arası destekteki değişiklik de dahil olmak üzere” bir dizi faktörün olduğunu söylüyor.
Soruna yönelik öne sürülen temel çözüm, NVD’yi geliştirmek için araştırma konusunda işbirliği yapacak sanayi, hükümet ve diğer paydaş kuruluşlardan oluşan bir konsorsiyum oluşturmaktır.
CISA’nın Savunmasızlık özelliği nasıl çalışacak?
“CISA Vulnrichment projesi, CISA’nın ADP (Yetkili Veri Yayımcısı) kapsayıcısı aracılığıyla CISA’nın halka açık CVE kayıtlarını zenginleştirmesinin halka açık deposudur. Projenin bu aşamasında, CISA yeni ve güncel CVE’leri değerlendiriyor ve önemli SSVC karar noktalarını ekliyor,” diye açıklıyor ajans projenin GitHub deposunda.
Şu ana kadar CISA 1.300 CVE’yi zenginleştirdi.
CISA, güvenlik açıklarını, kullanım durumları, teknik etkileri, temel görev işlevleri üzerindeki etkileri, kamu refahı üzerindeki etkisi ve kullanımın otomatikleştirilip otomatikleştirilemeyeceğine bağlı olarak dört kategoriden birine yerleştirmeyi amaçlayan bir SSVC karar ağacı modeli kullanır:
1) Takip (“standart güncelleme zaman çizelgeleri dahilinde güvenlik açıklarını düzeltin”)
2) Takip* (“standart güncelleme zaman çizelgeleri dahilinde güvenlik açıklarını düzeltin”)
3) Katılın (“güvenlik açıklarını standart güncelleme zaman çizelgelerinden daha erken düzeltin”)
4) Harekete geçin (“güvenlik açıklarını mümkün olan en kısa sürede giderin”)
“’Toplam Teknik Etki’, ‘Otomatikleştirilebilir’ olarak derecelendirilen veya ‘Kullanım’ değerleri ‘Kavram Kanıtı’ veya ‘Aktif Kullanım’ olan CVE’ler için daha ileri analiz yapılacaktır. CISA, belirli bir CWE tanımlayıcısını, bir CVSS puanını veya bir CPE dizesini belirtmek için yeterli bilgi olup olmadığını belirleyecektir,” diye belirtti ajans, güvenlik açıklarının orijinal CVE kaydındaki kaynak CNA verilerinin üzerine yazmayacağını doğruladı.
CISA, Vulnrichment için CVE JSON formatını kullanıyor, “böylece paydaşlar bu güncellemeleri güvenlik açığı yönetimi süreçlerine hemen dahil etmeye başlayabilirler.”
Ajans, BT siber güvenlik profesyonel topluluğunu çabaları hakkında geri bildirim sağlamaya teşvik ediyor ve projenin hızlı bir şekilde gelişmesini bekliyor.