Yönetişim ve Risk Yönetimi
Ajans, Büyük Güvenlik Açığı Birikmiş Listesini Temizlemek için Eski Son Tarihi Çok ‘İyimser’ Olarak Çağırdı
Chris Riotta (@chrisriotta) •
14 Kasım 2024
ABD federal hükümetinin güvenlik açıkları deposu, veritabanını güncel hale getirmek için kendi kendine belirlediği süreyi karşılayamadığı için on binlerce analiz edilmemiş kusurdan oluşan birikmiş yığını temizlemeye çalışıyor.
Ayrıca bakınız: Tek Satıcılı SASE’nin Yükselişi
Ulusal Güvenlik Açığı Veritabanı, bütçe kesintilerinin ana kurum olan Ulusal Standartlar ve Teknoloji Enstitüsü’nün bildirilen binlerce yazılım ve donanım güvenlik açığını inceleme becerisini durdurmasıyla Şubat ayında neredeyse durma noktasına geldi. Ajans, ek işleme desteği için bir sözleşme imzaladı ve işlenmemiş CVE’lerin birikmiş yığınını 30 Eylül olan “mali yılın sonuna kadar” temizlemeyi bekliyordu (bkz: NIST, Ulusal Güvenlik Açığı Veritabanını Geri Yükleme Planını Açıkladı).
Çarşamba günkü güncellemede NIST, yeni gelen CVE’leri ele almak için artık “tam bir analist ekibinin” bulunduğunu söyledi. Ajans ayrıca, birikmiş CVE’lere ilişkin verilerin NIST’in şu anda “verimli bir şekilde içe aktarabileceği ve geliştirebileceği” bir formatta olmaması nedeniyle birikmiş iş yükünü temizlemeye yönelik ilk tahmininin “iyimser” olduğunu da kabul etti.
NIST, yetkili veri sağlayıcılarından gelen verileri daha verimli bir şekilde işlemek için “yeni sistemler geliştirme” sürecinde olduğunu söyledi ancak ilerleme veya planlanmış güncellemeler için bir zaman çizelgesi sağlamadı. Ajans yorum talebine hemen yanıt vermedi.
Uzmanlar, bu yılın başlarında Bilgi Güvenliği Medya Grubu’na, veritabanının Mayıs ayında 10.000 analiz edilmemiş güvenlik açığına yaklaşarak bir kırılma noktasına ulaştığını ve tedarik zincirleri ve kritik altyapı sektörlerine yönelik potansiyel riskler konusunda uyarıda bulunduğunu söyledi (bkz.: Uzmanlar NVD İş Listesinin Kırılma Noktasına Ulaştığı Uyarısında Bulunuyor). Temmuz ayında yayınlanan araştırma, birikmiş iş yükünün 2025’e kadar uzayabileceği ve ek destek ve işleme olmadan 30.000’e yükselebileceği öngörüsünde bulundu.
Siber güvenlik firması Fortress Information Security tarafından yayınlanan bir kontrol paneline göre veritabanında şu anda analiz bekleyen 19.000’den fazla CVE’den oluşan bir birikim bulunuyor. Firma tarafından Çarşamba günü yayınlanan bir analiz raporu, veritabanının, birikmiş iş yükünü günde yaklaşık 500 CVE oranında temizleme yönündeki önceki hedefinin gerisinde kaldığını söyledi.
NIST daha önce Nisan ayında artan iş yükünü “çeşitli faktörlere” bağlamış, yavaş işlem hızlarını kısmen “yazılımdaki artışa ve dolayısıyla güvenlik açıklarına ve ayrıca kurumlar arası destekteki değişikliğe” bağlamıştı.
Bir NIST sözcüsü daha önce ISMG’ye, ajansın artan güvenlik açığı hacmini yönetmek için teknolojik ve süreç iyileştirmelerini araştırırken yeni, analiz edilmemiş güvenlik kusurlarını veritabanına dahil etmek için CISA ile işbirliği yaptığını söyledi.
NIST, kurumlar arası destekteki belirgin kesinti hakkında ek bilgi sunmadı ve devam eden birikmiş iş yığınına ilişkin yorum talebine yanıt vermedi. Ajans, Nisan ayı bildiriminde, veritabanını geliştirmek için sanayi, hükümet ve paydaş kuruluşlardan oluşan bir konsorsiyum oluşturulmasını da içerebilecek uzun vadeli çözümler araştırdığını belirtti.