Yönetişim ve Risk Yönetimi, Devlet, Sektöre Özel
Ajans, Büyük CVE Birikmiş İş Yüküyle Başa Çıkmak İçin Ek Personel Alımı İçin Sözleşme İmzaladı
Chris Riotta (@chrisriotta) •
30 Mayıs 2024
Ulusal Güvenlik Açığı Veritabanı nihayet çok ihtiyaç duyulan bir güncellemeyi alıyor olabilir.
Ayrıca bakınız: İsteğe Bağlı | Gelişmiş Uç Nokta Stratejileri Sayesinde Sıfır Güven Hedeflerinize Nasıl Ulaşabilirsiniz?
ABD federal hükümeti tarafından tutulan bir güvenlik açıkları deposu olan veritabanı, finansman kesintilerinin Ulusal Standartlar ve Teknoloji Enstitüsü’nü bildirilen binlerce yazılım ve donanım kusurunu analiz etmeyi bırakmaya zorlamasının ardından Şubat ayında neredeyse durma noktasına geldi.
Ajans Salı günü geç saatlerde, uzmanların veri tabanının bir kırılma noktasına ulaştığı konusunda uyardığı yılın başlarında birikmeye başlayan devasa birikmiş iş yükünün üstesinden gelmeye yardımcı olmak amacıyla “ek işlem desteği için” bir sözleşme imzaladığını duyurdu. Information Security Media Group daha önce veritabanında neredeyse 10.000 analiz edilmemiş güvenlik açığı bulunduğunu ve NIST’in Mayıs ayında bildirilen yaklaşık 2.000 CVE’den yalnızca ikisini değerlendirdiğini bildirmişti (bkz.: Uzmanlar NVD İş Listesinin Kırılma Noktasına Ulaştığı Uyarısında Bulundu).
NIST, “Bu ek desteğin önümüzdeki birkaç ay içinde Şubat 2024’ten önce koruduğumuz işlem oranlarına geri dönmemize olanak sağlayacağından eminiz” dedi. Ajans ayrıca işlenmemiş CVE’lerin birikmiş yükünün “30 Eylül” olan “mali yılın sonuna kadar” temizlenmesini beklediğini de belirtti.
Uzmanlar ISMG’ye NVD’nin restorasyonunun memnuniyet verici bir gelişme olduğunu söyledi ancak çok sayıda özel sektör kuruluşunun CVE’leri izlemek için veri tabanına giderek daha fazla bağımlı hale geldiği konusunda uyardı.
Yazılım tedarik zinciri yönetimi şirketi Sonatype’in CTO’su ve Açık Kaynak Güvenlik Vakfı’nın yönetim kurulu üyesi Brian Fox, “Ticari olarak satılan çok sayıda araç, güvenlik açığı açısından zenginleştirilmiş veriler için yalnızca NVD beslemesine bağlı” dedi. “NVD yavaşladığında, tüm bu araçlar yeni güvenlik açıklarına karşı kör hale geldi.”
NIST sözcüsü, ISMG’ye yeni sözleşmeli personelin Maryland merkezli Analygence tarafından sağlanacağını söyledi ancak ödülün süresi ve toplam maliyeti hakkında ek bilgi sağlamayı reddetti. Ajans, işlenmemiş CVE’lerin veritabanına eklenmesini kolaylaştırmak için Siber Güvenlik ve Altyapı Güvenliği Ajansı ile birlikte çalıştığını söyledi.
NIST ayrıca “teknoloji ve süreç güncellemeleri yoluyla artan güvenlik açığı hacmini gidermenin yolları üzerinde çalıştığını” belirterek, amacının sürdürülebilir bir program oluşturmak ve güvenlik açığı yönetimi, güvenlik ölçümü ve uyumluluğun otomasyonunu desteklemek olduğunu ekledi.