Ulusal Güvenlik Açığı Veritabanına (NVD) gönderilen hata sayısındaki patlamaya ayak uyduramayan uyarının ardından Ulusal Bilim ve Teknoloji Enstitüsü (NIST), ABD hükümetinden ve özel sektörden ek kaynak istedi.
Ajans, Şubat ayında bu durumun yaşandığını söyledi NVD'nin güncellenmesinde gecikmeler. Bu hafta, gecikmelerin gerçek bir birikime dönüştüğünü itiraf etti. NIST, öncelikle en yüksek öncelikli güvenlik açıklarını gidermeye çalıştığını söyledi.
NIST, konuyla ilgili yaptığı açıklamada, “Bu, yazılımdaki ve dolayısıyla güvenlik açıklarındaki artışın yanı sıra kurumlar arası destekteki değişiklik de dahil olmak üzere çeşitli faktörlere dayanıyor.” dedi. NVD biriktirme listesi.
NIST'teki personel karıştırılıyor Ajans, güvenlik açığı analizindeki gecikmeleri önceliklendirmek için ancak daha uzun vadeli çözümlerin gerekli olduğunu açıkladı. NIST'in vurguladığı spesifik önerilerden biri, NVD'yi desteklemek için “sanayi, hükümet ve araştırma konusunda işbirliği yapabilecek diğer paydaş kuruluşlardan” oluşan bir kamu-özel sektör konsorsiyumunun oluşturulmasıydı.
NIST'in Yeni Bir Yaklaşıma İhtiyacı Var
Sectigo'nun üründen sorumlu kıdemli başkan yardımcısı Jason Soroko'ya göre NIST'in NVD'si güvenlik operasyonlarının temelini oluşturuyor. Ve birikmiş iş yığını üzerinde çalışacak ilave analistlerin bulunmasının kritik önem taşıdığını da sözlerine ekledi.
Soroko, “Sorun ölçektir” diyor. “NIST, NVD veritabanına yerleştirilmeden önce analiz edilmesi ve anlaşılması gereken güvenlik açıklarından oluşan birikmiş yığınla başa çıkmak için programı sektörden incelenmiş kuruluşlardan oluşan bir konsorsiyuma açacak. Bu iyi bir hamle.”
Qualys mühendislikten sorumlu başkan yardımcısı Sumitra Das, ajansın CVE'lerdeki patlamaya ayak uydurabilmesi için NIST'in yeni bir yaklaşıma ihtiyacı olduğunu açıklıyor.
Das, “NIST NVD uzun süredir güvenlik açığı yönetiminin temel taşı olmuştur” diyor. “Ancak CVE ihracındaki hızlı büyüme, bu açıklamada da belirtildiği gibi farklı ve öncelikli bir yaklaşımı gerektirecek bir baskı yarattı. On yıl içinde ilk kez gerçekleşen bütçe kesintileri de muhtemelen bu konunun bir parçası. “
NIST ve NVD geçmişte siber güvenlik açısından çok önemli olduğundan, Bambenek Consulting başkanı John Bambenek, siber güvenlik sektörünün desteğiyle NVD'nin tekrar yoluna girebileceğinden umutlu olduğunu söylüyor.
Bambanek, “NVD, NIST ve siber güvenlik için büyük bir başarı öyküsüdür ve programın ölçeğini büyütmek için özel-kamu sektörü ortaklığına hızlı bir şekilde ulaşılabileceğini umuyoruz” diyor. “Bu duyuru, güvenlik açığı olasılıklarındaki patlamanın o kadar büyüdüğünü ve ABD hükümetinin bile sorunu yeterince çözemediğini gösteriyor.”