Ulusal Standartlar ve Teknoloji Enstitüsü, analiz edilmemiş güvenlik açıklarından oluşan devasa birikmiş yığının temizlenmesini bekliyor. Ulusal Güvenlik Açığı Veritabanı sonuna kadar Eylül, Ajans dedi ki Çarşamba güncelleme.
NIST NVD programındaki faaliyetlerini azalttı içinde Şubat ortası kurumlar arası finansman desteğindeki bir değişikliğin ve şaşırtıcı bir CVE açıklamaları seli sonrasında. Ajans tüm zamanların en yüksek rakamını bildirdi 33.137 geçen yıl güvenlik açıklarıbuna göre Alevlenme noktası araştırma.
Ajans, sıkışıklığın giderilmesine yardımcı olmak için bir siber güvenlik analizi ve e-posta desteği sağladı Maryland merkezli Analygence ile sözleşme 865.657$ USAspending.gov’a göre NVD’ye yönelik gelen güvenlik açıklarının işlenmesini desteklemek. “3 Haziran haftasında performansa başlamayı bekliyoruz” Analiz COO’su Tom Peitler e-posta yoluyla söyledi.
Peitler, “Analiz, NIST Ortak Platform Numaralandırma sürecini kullanarak ve Ortak Güvenlik Açığı Puanlama Sistemine uygun olarak mevcut CVE’ler birikimi üzerinde sürekli olarak çalışacaktır” dedi.
Siber güvenlik ve araştırma hizmetleri şirketiyle yapılan sözleşme Aralık ayında sona eriyor ve hizmetleri neredeyse 2025 Temmuz’a kadar uzatma seçeneğini içeriyor 1,8 milyon dolar Toplam.
“Sözleşmeli personel, CVE’lerin işlenmesini destekleyecek ve önümüzdeki birkaç ay içinde önceki işleme oranlarımıza dönmemize olanak tanıyacak. Tek başına bu, Şubat ayından bu yana biriken birikimi ortadan kaldırmayacaktır.” NIST’in medya ilişkileri direktörü Rich PressPerşembe günü e-posta yoluyla söyledi.
Siber Güvenlik ve Altyapı Güvenliği AjansıAyrıca, veritabanına eklenmelerini kolaylaştırmak için birikmiş CVE’ler hakkında ek bilgi sağlayarak NIST’i destekliyorsunuz.
“CISA daha önce NIST NVD programını kurumlar arası finansmanla yılda yaklaşık 3,7 milyon dolar ile destekliyordu, ancak bunu durdurdular.” Basmak söz konusu. “Mevcut NIST fonlarını NVD programına yönlendirerek bu fon kaybını telafi ettik.”
NIST’e göre CISA’nın kurumlar arası finansmanı Eylül ayı sonlarında sona erdi.
Bir CISA sözcüsü Cuma günü e-posta yoluyla yaptığı açıklamada, “Teknoloji topluluğu, risk azaltmayı önceliklendirmek ve riski anlamak için güvenlik açıkları hakkındaki bilgilere güveniyor.” dedi. “Kuruluşların yeni ortaya çıkan güvenlik açıkları riskini azaltmalarına yardımcı olmak için sınırlı kaynakları en etkili şekilde nasıl tahsis edebileceğimizi sürekli olarak değerlendiriyoruz ve tedarikçileri bu tür güvenlik açıklarının yaygınlığını tasarım yoluyla azaltmaya teşvik ediyoruz.”
Büyüyen bir birikim
CVE işlemeyi normale döndürmek için CISA ve NIST, tanıdık bir ortak olan Analygence’a yöneliyor.
NIST ödüllendirildi 125 milyon dolar Analygence ile Aralık ayında sözleşme imzalanacak ajansı desteklemek Bilgisayar Güvenliği Bölümü, Uygulamalı Siber Güvenlik Bölümü ve diğer siber güvenlik ve gizlilik çalışmaları. CISA daha önce Analygence ile sözleşme imzaladı: Ajansın Güvenlik Açığı Yönetimi Alt Bölümünü desteklemek.
NVD’deki artan aktivite, dışarıdaki araştırmacıların analiz edilmemiş CVE’lerin artan birikimi hakkında alarm vermeleriyle birlikte geliyor. NIST’in sahip olduğu 10 güvenlik açığından 1’inden azı analiz edildi VulnCheck geçen hafta bir raporda, Şubat ortasından bu yana NVD’de yayınlandığını söyledi.
NIST, VulnCheck’in analizini yeniden üretemediğini ancak NVD’ye gönderilen tüm CVE’lerin durumunun çevrimiçi olarak mevcut olduğunu belirtti.
Press, VulnCheck’in bulgularına yanıt olarak şunları söyledi: “CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları listesinde aktif olarak yararlanılan güvenlik açıkları da dahil olmak üzere en önemli güvenlik açıklarına öncelik veriyoruz.”
NIST, ABD hükümetinin mali yılı sonuna kadar CVE biriken yükünü temizlemeyi bekliyor30 Eylül’de sona erecek.