Amerika Birleşik Devletleri Ulusal Metroloji Enstitüsü, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), Ulusal Güvenlik Açığı Veritabanı (NVD) içinde tutulan on binlerce eski ortak güvenlik açığı ve maruziyetine (CVES) güncellemeler sağlamayı durdurmaktır.
Geçen hafta yayınlanan bir duyuruda, standartlar organı, 1 Ocak 2018’den önce yayınlanmış bir tarihe sahip her CVE’nin şimdi NVD veri kümesinde ertelenmiş olarak işaretleneceğini söyledi.
NIST, yaptığı açıklamada, “Bu durumu, CVE’nin yaşı nedeniyle NVD zenginleştirmesinin veya ilk NVD zenginleştirme verilerinin güncellenmesine öncelik vermeyi planlamadığımızı belirtmek için bu durumu eski CVES’e atıyoruz” dedi.
NIST’in duyurusu, organizasyon analiz edilmesi ve işlenmesi gereken binlerce CVE’lik bir iştirak ile başa çıkmak için mücadele ederken geliyor. Geçen yıl puanlarda, bu birikmiş işler%32 oranında arttıkça 18.000 rekoru kırdı. İkileminden çıkış yolunu otomatikleştirmek için makine öğrenimi de dahil olmak üzere yeni teknolojilerin kullanımını araştırıyor.
Konuyla ilgili diğer çoğu yetkili gibi, NIST de güvenlik açığı sunum hacimlerinin 2025’te yükselmeye devam etmesini bekliyor.
Nist, CVE kayıtları için sağladığı meta verileri güncellemek için talepleri kabul etmeye ve gözden geçirmeye devam edeceğini ve söz konusu verilerin uygun olduğunu gösteren yeni bilgiler ortaya çıkması durumunda, bu çalışmanın zaman ve kaynak kullanılabilirliğine tabi olan “önceliklendirmeye devam edeceğini” söyledi.
Ayrıca, yaşlarına bakılmaksızın, siber güvenlik ve altyapı güvenlik ajansının (CISA’nın) bilinen sömürülen güvenlik açığı kataloğuna eklenen CVE’lere öncelik vermeye devam edecektir.
Black Duck’taki yazılım tedarik zinciri riski başkanı Tim Mackey şunları söyledi: “Eski CVES, özellikle önemli güvenlik açıkları ile ilişkili olanları görmek, daha düşük bir öncelik haline gelmiş olsa da, gerçek şu ki, CVE, eski CVES’lere yapılan güncellemelerin yaygın olduğunu kabul ederek NVD’de kalıyor.
“Pratik amaçlar için, artık ‘ertelenmiş’ olarak etiketlenmiş bir şeyi, düşük performanslı bir yama yönetimi veya DevOps siber güvenlik programına sahip olarak etiketlemeyen veya azaltmamış herhangi bir kuruluşu görürdüm.
“Bu etkinliği ürün güvenliği olayı müdahale ekipleri için tüm yazılımları envanter yapmak ve daha sonra tüm güvenlik açıklarını ertelenmiş bir durumla tetiklemek için harekete geçirici bir çağrı yapalım” dedi.
ABD Kesintileri
Son haftalarda NIST ayrıca, Federal Hükümet genelinde binlerce fazlalık yapmakla görevlendirilen Elon Musk tarafından yönetilen yeni organ olan Hükümet Verimliliği Bakanlığı (DOGE) tarafından bir dizi kesintiye maruz kalmıştır ve NIST’in ebeveynindeki işgücünün% 20’sini Ticaret Bakanlığı’nda ateşlemeyi planladığı anlaşılmaktadır.
Geçen hafta, bir dizi biz siyasetçi Ticaret Sekreteri Howard Lutnick’e bu kesintilere baskı yaptı ve NIST’in standartlar geliştirme ve hem endüstriyel hem de tüketici güvenliği ve güvenliği için bir tehlike oluşturabilecekleri ve küresel aşamada Amerikan liderliğine ve yumuşak güce zarar verebilecekleri konusunda uyardı.
Computer Weekly’nin kardeş başlığına göre Siber güvenlik dalışıCisa, Doge’in İç Güvenlik Departmanı’na (DHS) kesintilerle en az 170 rolü kaybetti, ilk döneminde Başkan Trump tarafından kurulan ABD’nin Ulusal Siber Ajansı’ndaki diğer birçok personel krater moralinde istifa etti.