Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), 2 Nisan 2025’te, 1 Ocak 2018’den önce yayınlanan bir tarihle tüm ortak güvenlik açıklarının ve maruziyetlerinin (CVES) Ulusal Güvenlik Veritabanı (NVD) veritesinde “ertelenmiş” olarak işaretleneceğini açıkladı.
Bu önemli değişiklik, veritabanındaki tüm güvenlik açığı kayıtlarının yaklaşık% 34’ünü temsil eden yaklaşık 94.000 CVE’yi etkiler.
NIST’in kararı, kuruluşun 2024’te% 32 artan yeni güvenlik açığı sunumlarının işlenmesinde zorluklarla karşılaşmasıyla geliyor.
.png
)
Geçen yıl puanlarda, enstitü güvenlik açığı raporlarının artan hacmine ayak uydurmak için mücadele ederken biriktirme 18.000 rekora ulaştı.
Kaynak kısıtlamaları ve büyüyen birikim tarafından yönlendirilen karar
NIST’in duyurusuna göre, “ertelenmiş” statü, kuruluşun “CVE’nin yaşı nedeniyle NVD zenginleştirmesinin veya ilk NVD zenginleştirme verilerinin güncellenmesine öncelik vermeyi planlamadığını” göstermektedir.
Uygulama güvenliği artık sadece savunmacı bir oyun değil, güvence zamanı -> Ücretsiz Web Semineri
Değişiklik birkaç gece uygulanacak ve “CVE kayıtlarının hangi öncelik verildiğine dair ek netlik” sağlaması amaçlanmıştır.
Güvenlik uzmanları, özellikle AI ile çalışan sömürü teknikleri geliştikçe, bu değişikliğin potansiyel etkileri konusunda endişelerini dile getirdiler.
Ionix CEO’su Marc Gaffan, NIST’in daha yeni güvenlik açıklarına odaklanmasına rağmen, herhangi bir CVE’yi değerlendirmedeki kritik faktörün sömürülebilirliği olduğunu belirtti.
Gaffan, “AI yeteneklerinin hızlı bir şekilde ilerlemesiyle, eski CV’lerin yeni sömürü teknikleri aracılığıyla yeniden canlandırılabileceği konusunda artan endişe var” dedi.
“Bu eğilim kuruluşları hazırlıksız yakalayabilir ve bu yeniden ortaya çıkan tehditlerin getirebileceği yeni riskleri ve maruziyetleri ele almak için hazırlıksız bırakabilir”.
Onay CEO’su Ted Miracco, daha eski güvenlik açıklarının genellikle önemli riskler oluşturduğunu vurguladı, çünkü tipik olarak hala üretimde, özellikle kritik altyapı, hükümet, tıbbi ve finans sektörlerinde eski sistemlerde açılmamışlar.
Kritik güvenlik açıklarının izlenmesi
NIST, “ertelenmiş” statüye rağmen, kuruluşun bu eski CVE kayıtları için meta verileri güncelleme taleplerini kabul etmeye ve gözden geçirmeye devam edeceğini açıkladı.
Duyuru, “Herhangi bir yeni bilgi, CVE için zenginleştirme verilerine ilişkin bir güncellemenin uygun olduğunu açıkça göstermesi durumunda, bu talepleri zaman ve kaynak izin verdikçe önceliklendirmeye devam edeceğiz” dedi.
Daha da önemlisi, NIST, ertelenmiş statülerine bakılmaksızın, siber güvenlik ve altyapı güvenlik ajansının (CISA) bilinen Sökülen Güvenlik Açığı (KEV) kataloğuna eklenen 2018 öncesi CVVE’leri önceliklendirmeyi taahhüt etmiştir.
ISC2’de CISO Jon France, güvenlik ekiplerinin sadece CVSS puanlarına odaklanmaması gerektiğini, aynı zamanda yama durumunu veya tehdit azaltmayı doğrularken MITER CVE gibi harici zenginleştirme kaynaklarına da danışması gerektiğini önerdi.
Güvenlik uzmanları, özellikle eski sistemleri koruyan kuruluşlar için risk altındaki kütüphaneleri ve bileşenleri tanımlamak için eski CV’leri bir yazılım malzeme faturasına (SBOM) eşleştirmenizi önerir.
Değişiklik, NVD API kullanıcılarını ve güvenlik açığı verilerinde düzenli güncellemelere dayanan diğer hizmetleri etkiler.
“Ertelenmiş” olarak işaretlenen CVE’ler, CVE detay sayfalarında bu durumu gösteren ve açık bir görünürlük sağlayan bir banner görüntüleyecek NIST aktif olarak kayıtları koruyor.
Kuruluşlar, bu değişikliği hesaba katmak için güvenlik açığı yönetimi stratejilerini gözden geçirmeli ve bu ertelenmiş CV’lerin mevcut olabileceği eski sistemler için ek izleme uygulamayı düşünmelidir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try 50 Request for Free