ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), Ulusal Güvenlik Açığı Veritabanındaki (NVD) işlenmemiş Ortak Güvenlik Açıkları ve Etkilenmelerin (CVE’ler) giderek artan birikimini gidermek için büyük bir adım attı. Enstitü, operasyonlarına ek işleme desteği sağlamak için harici bir yüklenici kiraladı.
Yüklenicinin adı açıklanmadı ancak NIST, bu hareketin önümüzdeki birkaç ay içinde normal işleme oranlarına dönmesine olanak sağlayacağını beklediğini söyledi.
Ulusal Güvenlik Açığı Veritabanı Birikiminin Temizlenmesi
NIST, NVD’deki girişlerin yönetilmesinden sorumludur. Enstitü, Şubat ayından bu yana biriken CVE’lerin artan birikimi nedeniyle giriş hacmiyle boğuştuktan sonra, işleme çabalarına yardımcı olması için harici bir tarafı bir sözleşmeyle ödüllendirdi.
Ajans, “Bu ek desteğin önümüzdeki birkaç ay içinde Şubat 2024’ten önce koruduğumuz işlem oranlarına geri dönmemize olanak sağlayacağından eminiz” dedi. Birikmiş iş yükünü daha da hafifletmek için NIST, genel operasyonlarını ve süreçlerini iyileştirmek amacıyla Siber Güvenlik ve Altyapı Güvenliği Ajansı CISA ile de yakın işbirliği içinde çalışıyor. NIST, “Bu birikmiş iş yükünün mali yılın sonuna kadar giderileceğini tahmin ediyoruz” dedi.
NIST, durum güncellemesinde, kurumun modern teknoloji kullanımı ve süreçlerinde iyileştirmeler yoluyla artan güvenlik açığı hacmini ele almak için çeşitli yöntemler araştırdığını belirten daha önceki bir beyanına atıfta bulundu.
Enstitü, “Amacımız uzun vadede sürdürülebilir bir program oluşturmak ve güvenlik açığı yönetimi, güvenlik ölçümü ve uyumluluğun otomasyonunu desteklemektir” dedi.
NIST, NVD’yi sürdürme ve modernleştirme konusundaki kararlılığını yeniden teyit ederek şunları belirtti: “NIST, bilgi teknolojisine güven oluşturmak ve yeniliği teşvik etmek için hayati önem taşıyan bu hayati ulusal kaynağı korumaya ve güncellemeye tamamen kararlıdır.”
CISA’nın ‘Hassas Zenginleştirme’ Girişimi
NIST’te artan NVD birikimine yanıt olarak CISA, kamuya açık CVE kayıtlarının zenginleştirilmesine yardımcı olmak için “Vulnrichment” adlı kendi girişimini başlattı. CISA’nın Vulnrichment projesi, kaynak CNA’nın (Ortak Güvenlik Açıkları ve Etkilenmeleri Numaralandırma Kurumu) çalışmalarını tamamlamak ve NIST analistlerinin üzerindeki yükü azaltmak için tasarlanmıştır.
CISA, güvenlik açıklarını kategorize etmek için SSVC karar ağacı modelini kullanacağını söyledi. Ajans, kullanım durumu, teknik etki, temel görev işlevleri üzerindeki etki, kamu refahı ve kullanımın otomatikleştirilip otomatikleştirilemeyeceği gibi faktörleri dikkate alacak. CISA, BT siber güvenlik topluluğunun bu çabaya ilişkin geri bildirimlerini memnuniyetle karşılamaktadır.
CISA, zenginleştirilmiş CVE verileri sağlayarak siber güvenlik profesyonelleri için NVD’nin genel kalitesini ve kullanışlılığını artırmayı hedefliyor. Ajans, “Bu alanları halihazırda kaynak CNA tarafından doldurmamış olan CVE’ler için, CISA, yeterli destekleyici kanıt olduğunda ilgili ADP kapsayıcısını bu değerlerle dolduracaktır” diye açıkladı.
NIST ve CISA mevcut zorlukların üstesinden gelmeye çalışırken, toplumu ilerlemeleri ve gelecekteki modernizasyon planları hakkında bilgilendirmeye söz verdiler.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.