Bu ses otomatik olarak oluşturulmuştur. Geri bildiriminiz varsa lütfen bize bildirin.
Ulusal Standartlar ve Teknoloji Enstitüsü, güvenlik açığı analizine yönelik hızla artan talebi karşılamaya çalışırken ve ortaklara hükümetin bu kusurları kataloglayan programa devam eden bağlılığı konusunda güvence vermeye çalışırken, yazılımdaki güvenlik açıklarını analiz etme rolünü yeniden değerlendiriyor.
“Bu konuda giderek daha fazla düşünmeye başladık. [National Vulnerability Database] NIST’in Bilgisayar Güvenliği Bölümü başkan vekili Jon Boyens, ajansın Bilgi Güvenliği ve Gizlilik Danışma Kurulu üyelerine şunları söyledi: üç ayda bir toplantı Perşembe günü.
NIST’in stratejik incelemesi NVD – federal olarak finanse edilen kılavuzda listelenen kusurlara ayrıntılı bilgi ekleyen Yaygın Güvenlik Açıkları ve Etkilenmeler katalog – siber güvenlik uzmanlarının hükümetin CVE ekosistemini yönetmedeki rolünü giderek daha fazla sorgulamasıyla ortaya çıkıyor. NIST yıllardır takip edemiyorum analiz gerektiren çok sayıda güvenlik açığı ve 2025’teki tartışmalarla birlikte devlet finansmanında neredeyse kesinti CVE kataloğu için kritik bir siber güvenlik kaynağının akıbetine ilişkin endişeler yoğunlaştı.
NVD’yi yöneten birim olan Boyens, üç aylık toplantılarının ikinci gününde yönetim kurulu üyelerine şunları söyledi: “Geçtiğimiz bir buçuk yıldır adeta peşimizdeydik.”
Boyens, yıllardır güvenlik açıklarının veri tabanına NIST’in bunları analiz edip onlar hakkında ayrıntılı bilgi sağlayabileceğinden çok daha hızlı ulaştığını söyledi; kurum bu süreci “zenginleştirme” olarak adlandırıyor. Boyens, bu işin “çok emek yoğun” olduğunu ve “buraya aldığımız CVE miktarına göre ölçeklenemeyeceğini” açıkladı. “Kaybedilecek bir savaş veriyoruz. Bunun farkındayız.”
Kusurların tetiklenmesi
Bu sorunu çözmek için NIST, bir güvenlik açığının Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın Bilinen İstismar Edilen Güvenlik Açıkları kataloğunda görünüp görünmediği, federal kurumların kullandığı yazılımlarda bulunup bulunmadığı ve federal kurumların kullandığı yazılımlarda bulunup bulunmadığı da dahil olmak üzere çeşitli faktörlere dayalı olarak hangi güvenlik açıklarını zenginleştirdiğine öncelik vermeye başlayacak. NIST kritik olarak tanımlıyor.
Boyens, “Bütün CVE’ler eşit değildir” dedi. “Bu önceliklendirmeyi tanımlama sürecindeyiz. Bir süredir resmi olmayan bir önceliklendirme yapıyorduk. Bunu şimdi resmileştirmek istiyoruz.”
NIST aynı zamanda zenginleştirilmemiş güvenlik açıkları için “biriktirme listesi” kelimesinin kullanımını caydırarak zenginleştirme konusundaki beklentileri değiştirmeye çalışıyor. Boyens, “Başka bir terim bulmamız gerekecek” dedi. “Geriye dönüp mevcut veya şimdiye kadar sunulan her CVE’yi zenginleştirmeye çalışmanın misyonumuza veya paydaşlarımıza hizmet ettiğini düşünmüyorum.”
Sorumluluk değişimi
Aynı zamanda NIST, güvenlik açığı analizi ekosistemindeki rolünü yeniden değerlendiriyor. Ajans, bu incelemeye rehberlik edecek bir strateji ve uygulama planı yayınlamayı planlıyor ve Trump yönetiminden işe alma yetkisini aldıktan sonra süreci yönetmesi için bir program yöneticisini işe alacak.
İncelemenin bir parçası olarak NIST, NVD’yi nasıl kullandıklarını ve ne tür bilgiler sağlamasını istediklerini anlamak için ortaklarıyla (diğer kurumlar, özel şirketler ve bağımsız araştırmacılar) birlikte çalışacak.
Boyens, “CVE’leri zenginleştirdiğimiz pek çok şeyi yapıyoruz ancak bunların gerçekten yararlı olup olmadığı konusunda hiçbir fikrimiz yok” dedi.
İncelemenin “hem daha geniş topluluğun neye ihtiyacı olduğunu bulmayı hem de NIST’in bu ekosistemde nereye uyduğunu bulmayı” içereceğini söyledi.
NIST’in hedefi, güvenlik açığı zenginleştirme çalışmasını, CVE’leri doğrulayan ve onlara benzersiz tanımlayıcılar atayan CVE Numaralandırma Yetkililerine (CNA’lar) aktarmaktır. Ancak Boyens, bunun gerçekleşmesinden önce NIST’in CNA’lar için zenginleştirmenin nasıl yapılacağına dair kılavuz yazması gerektiğini söyledi.
Boyens, NIST’in nihayet bu çalışmayı CNA’lara devrettiğinde, bunun güvenlik açığı verilerini analiz eden kurum için “büyük bir sıfırlama” anlamına geleceğini söyledi. 20 yılı aşkın süredir. NVD programı, çoğunlukla operasyonel projelerden ziyade araştırma ve standart belirleme faaliyetlerinden oluşan NIST’in siber güvenlik portföyünde her zaman bir aykırılık olmuştur.
“Temelimiz araştırma, geliştirme ve harekettir. [the] başvuru [of technology] Boyens şöyle konuştu: “Operasyonel tarafının çok maliyetli olduğunu ve yetki alanımız dışında olduğunu gördük.”
“NIST’in temel işlevlerinin ne olduğuna geri dönmek istiyoruz” diye ekledi.
İşbirliği mi, rekabet mi?
Perşembe günkü toplantı sırasında danışma kurulu üyeleri Boyens’e, CVE programının neredeyse çökmesinin ardından ortaya çıkan diğer güvenlik açığı analizi projeleri hakkında sorular sordu.
CVE veri tabanını finanse eden CISA, bağlılığını göstermek kendi lansmanını yaparak konuya “Zenginleştirme” projesi. Ancak Boyens, yönetim kurulu üyelerine şunları söyleyerek bu çabaya şüpheyle yaklaştı: “Bunun soruna bir çözüm olduğunu düşünmüyorum. [NVD] birikim. Sanırım orada bazı mükerrer çabaların olduğunu bulduk.” NIST ve CISA personelinin “daha iyi bir koordinasyon işi yapmak” için önümüzdeki günlerde buluşmayı planladığını da sözlerine ekledi.
Boyens ayrıca yeni bir Avrupa güvenlik açığı veritabanıyla ilgili endişelerini de dile getirdi: Küresel CVE Tahsis Sistemi (GCVE), yanıt olarak başlatıldı ABD tarafından finanse edilen sistemle ilgili endişeler. Boynes, NIST’in “tüm süreci topluluk genelinde bölmediğimizden emin olmak için” GCVE operatörleriyle görüşmeyi planladığını söyledi.
Bu arada Ticaret Bakanlığı’nın genel müfettişi hâlâ NVD’yi denetlemek birikmiş işlerle ilgili endişelere yanıt olarak. Boyens, “zamanımızın çoğunu” aldığını söylediği denetimin “kısa sürede sonuçlanacağını” umduğunu ifade etti.