Hükümet, Sektöre Özel, Güvenlik Operasyonları
Yeni Analiz, Ulusal Güvenlik Açığı Veritabanı için Büyüyen Krizi Ortaya Çıkarıyor
Chris Riotta (@chrisriotta) •
26 Temmuz 2024
Yeni bir analiz, Ulusal Standartlar ve Teknoloji Enstitüsü’ndeki analiz edilmemiş güvenlik açıklarının ezici bir birikiminin, kurum işlem operasyonlarını önemli ölçüde hızlandırmazsa 2025’e kadar uzanma tehlikesi taşıdığını ortaya koyuyor.
Ayrıca bakınız: Kamu Sektörü için SIEM Alıcı Rehberi
Siber güvenlik firması Fortress Information Security tarafından Cuma günü yayınlanan bir panoya göre, Birleşik Devletler’in yaygın güvenlik açıkları ve ifşaları için resmi deposu olarak hizmet veren Ulusal Güvenlik Açığı Veritabanı, günlük ortalama 100’den fazla yeni bildirilen güvenlik açığı alıyor. Bu arada NIST, 2024 boyunca ortalama 30’dan biraz fazla yeni CVE analiz etti ve 16.000’den fazla güvenlik açığından oluşan büyüyen bir birikime sahip.
Veritabanı, NIST’in güvenlik risklerinin oluşturduğu büyük birikimi temizleme yeteneğini engelleyen kaynak zorlukları ve diğer kısıtlamalarla boğuşuyor ve bu durum CrowdStrike, Microsoft Defender ve Orca ve Wiz gibi önde gelen bulut güvenlik duruşu yönetim araçları gibi büyük siber güvenlik satıcılarını etkileyebiliyor (bkz: Uzmanlar NVD Geri Kalanının Kırılma Noktasına Ulaştığı Uyarısında Bulundu). NIST, Mayıs ayında veritabanını geri yükleme planını açıkladı ve Maryland merkezli siber güvenlik firması Analygence’a, “mali yıl sonuna kadar” yani 30 Eylül’de birikmiş işleri temizlemeye yardımcı olmak için ek işlem desteği için 865.657 $’lık bir sözleşme verdi.
Fortress Information Security’den gelen analiz, analistlerin birikmiş verileri temizlemek ve yeni bildirilen CVE’leri işlemeye başlamak için her gün 217’den fazla güvenlik açığını temizlemeleri gerektiğini gösteriyor – mevcut işleme kapasitesi altında günlük ortalamadan çok daha fazla. Şirket, NIST analiz oranını artırmada başarısız olursa, birikmiş verilerin 2024’ün sonuna kadar neredeyse 30.000 analiz edilmemiş hataya yükselebileceğini tahmin ediyor.
NIST, Nisan ayı sonlarındaki birikmiş iş için “çeşitli etkenleri” suçladı. Web sitesinde yayınladığı bir bildiride, yavaş işleme oranlarını “yazılımdaki ve dolayısıyla güvenlik açıklarındaki artışa ve ayrıca kurumlar arası destekteki bir değişikliğe” bağladı. Kurum, kurumlar arası destekteki belirgin kesintiye ilişkin olarak o sırada daha fazla ayrıntı vermeyi reddetti. NIST, birikmiş işlerin sürekli büyümesiyle ilgili bir yorum talebine hemen yanıt vermedi.
NIST’ten bir sözcü daha önce Information Security Media Group’a yaptığı açıklamada, kurumun Siber Güvenlik ve Altyapı Güvenlik Ajansı ile işbirliği yaparak veri tabanına yeni, analiz edilmemiş güvenlik açıkları eklediğini ve “teknoloji ve süreç güncellemeleri yoluyla artan güvenlik açıklarının hacmini gidermenin yolları üzerinde çalıştığını” söylemişti.
Uzmanlar, bazı güvenlik açıklarının otomatik olarak işlenmesi ve özel sektör ile CISA gibi federal kurumlardan ek destek sağlanması çağrısında bulundular; ancak NIST şu anda veritabanının birincil analizi ve yönetiminden sorumlu olmaya devam ediyor.