ABD Ulusal Standartlar ve Standartlar Enstitüsü, Ulusal Güvenlik Açığı Veri Tabanı'ndaki (NVD) son zamanlarda göze çarpan bocalamanın, “yazılımdaki ve dolayısıyla güvenlik açıklarındaki artışın yanı sıra kurumlar arası destekteki bir değişiklik de dahil olmak üzere çeşitli faktörlere dayandığını” söylüyor. Teknoloji (NIST).
“Şu anda en önemli güvenlik açıklarının analizine öncelik veriyoruz. Ayrıca, güvenlik açıklarını analiz etme konusunda daha fazla destek sağlamak için ajans ortaklarımızla birlikte çalışıyoruz ve bu göreve ek NIST personelini de yeniden atadık.”
NIST NVD nedir ve siber güvenlik açısından neden kritiktir?
NVD, CVE numaraları atanan ve MITRE'nin CVE Listesinde yayınlanan güvenlik açıklarıyla dolu halka açık bir depodur.
NVD personeli daha sonra girişleri aşağıdaki gibi bilgilerle günceller:
- Etki ölçümleri (Ortak Güvenlik Açığı Puanlama Sistemi – CVSS)
- Güvenlik açığı türleri (Ortak Zayıflık Sayımı – CWE)
- Uygulanabilirlik beyanları (Ortak Platform Sayımı – CPE)
- Diğer meta veriler (güvenlik açığının açıklaması, tavsiyelere bağlantılar vb.)
Personel, güvenlik açığı testi yapmaz ancak bu nitelikleri atamak ve girişleri güncellemek için satıcılar, güvenlik araştırmacıları ve güvenlik açığı koordinatörleri tarafından sağlanan bilgilere güvenir.
NVD veritabanı, diğer şeylerin yanı sıra, otomatik güvenlik açığı yönetimi için çok önemlidir.
Her ne kadar bir CVE'nin ortaya çıkması ile NVD'de yayınlanması arasındaki gecikme daha önce belgelenmiş olsa da, bu son aksaklık endişe verici: Yılın başından bu yana, NVD'ye eklenen CVE'lerin yarısından azına ilişkin girişler şu şekilde zenginleştirilmedi: NVD analistleri.
Çözümler üzerinde çalışmak
Siber güvenlik topluluğu, birikmiş iş yükünü fark etti ve bunun nedenleri üzerinde spekülasyon yaparken, NIST'in konuyla ilgili şeffaflık eksikliğini de kınadı.
Bir grup siber güvenlik uzmanı, ABD Kongresi'ne ve Ticaret Bakanı'na açık bir mektup imzalayarak onlardan “NIST'in yalnızca bu kritik hizmetin normal operasyonlarına devam etmesi için değil, aynı zamanda NVD'ye gerekli kaynakların sağlanmasını sağlamak için NVD ile devam eden sorunları araştırmasını” talep etti. ayrıca Şubat 2024'teki hizmet bozulmasından önce gelen mevcut sorunları çözmek için sistemi daha da geliştirin.”
“Birçok kuruluş, güvenlik açıklarını önceliklendirmek ve iyileştirme zaman çizelgelerini buna göre ayarlamak için yalnızca CVSS'ye güveniyor” diye belirttiler.
“Bu gecikmiş bilgilere dayanarak, bugün kritik bir güvenlik açığı yayınlanırsa, birçok otomatik tarama aracı satıcısı, tespitlerinin ciddiyet derecesini uygun şekilde sınıflandırmakta zorlanacak ve bu tarama sonuçlarına güvenen kritik altyapı operatörlerini, maruz kaldıkları riskten habersiz bırakacaktır. Bu güvenlik açıkları yeterince haber yapmadıkça veya sistemler kötü aktörler tarafından tehlikeye atılmadıkça.”
NIST, NVD'yi desteklemeye ve yönetmeye kararlı olduklarını ve mevcut sorunlara yönelik uzun vadeli çözümler üzerinde çalıştıklarını söylüyor; buna “sanayi, hükümet ve diğer paydaş kuruluşlardan oluşan bir konsorsiyumun kurulması da dahil. NVD'yi.”
Geçen hafta VulnCon konferansında NVD program yöneticisi Tanya Brewer, NVD Konsorsiyumunun iki hafta içinde faaliyete geçmesi gerektiğini söyledi.
Ayrıca NVD programının önümüzdeki beş yıl içinde yazılım tanımlamada iyileştirmeler, NVD verilerini daha tüketilebilir hale getirecek değişiklikler ve bazı CVE analiz faaliyetlerini otomatikleştirmenin yollarını bulma dahil olmak üzere birçok değişikliği düşündüğünü de paylaştı.