Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), Ulusal Güvenlik Açığı Veritabanındaki (NVD) işlenmemiş CVE numaralı güvenlik açıklarından oluşan birikmiş yığını temizliyor, ancak işi ne zaman bitireceklerine ilişkin ilk tahminlerinin “iyimser” olduğunu kabul etti.
NVD hakkında
Ulusal Güvenlik Açığı Veritabanı, MITRE’nin CVE Listesinde yayınlanmış olan güvenlik açıklarının halka açık bir deposudur.
“NVD personeli, açıklamadaki veri noktalarını, sağlanan referansları ve o sırada kamuya açık olarak bulunabilecek tüm ek verileri bir araya getirerek CVE’leri zenginleştirmekle görevlendirildi. Bu zenginleştirme, ilişkilendirme etki ölçümleri (Ortak Güvenlik Açığı Puanlama Sistemi – CVSS), güvenlik açığı türleri (Ortak Zayıflık Sayımı – CWE) ve uygulanabilirlik bildirimlerinin (Ortak Platform Sayımı – CPE) yanı sıra diğer ilgili meta verilerle sonuçlanır,” diye açıklıyor NIST.
NIST analistleri güvenlik açıklarını kendileri test etmiyor; ancak bu öznitelikleri atamalarına (ve periyodik olarak güncellemelerine) olanak tanıyacak bilgileri paylaşmak için satıcılara, güvenlik araştırmacılarına ve güvenlik açığı koordinatörlerine güveniyor.
NVD, güvenlik açığı taraması ve otomatik güvenlik açığı yönetimi araçları için önemli bir bilgi kaynağıdır. Bu nedenle sağlığı, onlara bağımlı olan kuruluşların güvenliği açısından çok önemlidir.
Problem çözme
NVD ile ilgili sorunlar, NIST’in çeşitli nedenlerden dolayı güvenlik açığı girişlerini güncellemede zorluk yaşadığını söylemesiyle bu yılın başlarında başladı.
Ancak daha uzun vadeli çözümler üzerinde çalışmaya başladılar ve NVD’nin geleceğe hazır olması için birçok değişiklik yapmayı düşündüklerini söylediler.
O tarihten bu yana NIST, Siber Güvenlik ve Gizlilik Platformu (CPP) için web uygulamalarını ve web tabanlı hizmetleri geliştirmelerine, test etmelerine ve dağıtmalarına yardımcı olması için Maryland merkezli Analygence’ı işe aldı.
“Ayrıca Analygence, yapısal bir karakterizasyon formatı, bir güvenlik açığı ontolojisi veya güvenlik açıkları aracılığıyla güvenlik açıklarının tanımını standartlaştırarak bilgi teknolojisi sistemlerinde, endüstriyel kontrol sistemlerinde ve tıbbi cihazlarda bulunan güvenlik açıklarındaki ölçüm belirsizliğini azaltmaya yönelik yeni bir yaklaşımın tasarlanması ve test edilmesi konusunda NIST’i destekleyecektir. Şirket o zamanlar ‘Vulntoloji’ diye paylaşmıştı.
Yola geri dönmek
Çarşamba günü yayınlanan güncellemede NIST, artık tam bir analist ekibine sahip olduklarını ve gelen tüm CVE’leri yüklendikçe ele aldıklarını söylüyor. “Ayrıca, biriktirilmiş olan tüm Bilinen İstismara Uğrayan Güvenlik Açıklarını (KEV’ler) ele aldık ve tüm yeni KEV’leri geldikçe işliyoruz.”
Ne yazık ki, Yetkili Veri Sağlayıcılardan (ADP’ler) aldıkları veriler “şu formatta olduğundan, aktif olarak istismar edilmeyen birikmiş güvenlik açıklarına ilişkin girişler hâlâ devam eden bir çalışmadır.” [they] Şu anda verimli bir şekilde ithalat ve geliştirme yapamıyoruz.”
“Bu sorunu çözmek için gelen ADP verilerini daha verimli bir şekilde işlememize olanak sağlayacak yeni sistemler geliştiriyoruz. Bu projeyi mümkün olan en kısa sürede tamamlamak için çalışıyoruz ve bu NVD Güncellemeleri sayfasında ilerlememiz hakkında güncellemeler sağlamaya devam edeceğiz,” diye sözlerini tamamladı ajans.