Ulusal Güvenlik Açığı Veritabanı giderek artan sayıda yazılım ve donanım hatasıyla o kadar boğuşuyor ki, Ulusal Standartlar ve Teknoloji Enstitüsü, Ortak güvenlik açıkları ve riskler deposunu koruyan, çabalarını yeniden gruplandırmak ve yeniden önceliklendirmek için kısa bir duraklama çağrısında bulundu.
NIST NVD programını küçülttük Şubat ayı ortasında ve şu anda en önemli veya aktif olarak yararlanılan güvenlik açıklarının analizine öncelik veriyor. NIST duyuruda, yavaşlamanın “yazılımdaki ve dolayısıyla güvenlik açıklarındaki artışın yanı sıra kurumlar arası destekteki bir değişiklik” nedeniyle hızlandırıldığını belirtti.
Federal kurum, uzun vadeli zorlukların üstesinden gelmek ve NVD programının nasıl iyileştirileceğini belirlemek için bir kamu-özel sektör konsorsiyumu oluştururken hükümetten daha fazla destek istiyor ve personeli yeniden görevlendiriyor. Bu arada, CVE analizindeki geçici gecikmeler, acil olmadığı düşünülen güvenlik açıklarının daha az ayrıntılı analizine yol açacaktır.
NIST’in NVD programının çalışması ve çıktısı dikkat çekicidir. Ajans tüm zamanların en yüksek rakamını bildirdi Geçen yıl 33.137 açıklamaFlashpoint araştırmasına göre NVD’nin ilk kez çevrimiçi hale geldiği 2005 yılına göre %318’lik bir artış.
Devlet kurumları, özel şirketler, araştırmacılar ve tehdit avcıları, güvenlik ölçümünü ve uyumluluğu otomatikleştirmek ve bu CVE’lerde gizlenen potansiyel riskleri değerlendirmek, azaltmak ve tespit etmek için NVD’nin standartlara dayalı güvenlik açığı yönetimi verilerini kullanıyor.
“Dürüst olmak gerekirse pek çok insan bunu muhtemelen yıllardır hafife alıyor” dedi. Caitlin Condon, Rapid7’nin güvenlik açığı araştırması direktörü.
NIST’in zamanlılığı veya şeffaflığı, CVSS puanları, ortak platform numaralandırması (CPE) veya temel neden tanımlaması hakkında ara sıra yaşanan tartışmalara rağmen, NVD uzun süredir güvenlik açığı bilgileri için yetkili ve geniş çapta güvenilen bir kaynak olmuştur.
“Araştırma ve güvenlik açığı yönetimi gibi çeşitli disiplinlerdeki güvenlik profesyonelleri NVD’ye güvenmeye başladı” dedi. Emily Austin, Censys’in baş güvenlik araştırmacısı. “Birçok kuruluştaki güvenlik açığı yönetimi araçlarına ve süreçlerine entegre edilmiştir ve önemi gerçekten de abartılamaz.”
NVD yavaşlaması satış yönünde zorluklara neden oluyor
NVD yavaşlamasının etkilerinin zaman içinde gerçekleşmesi bekleniyor ve siber güvenlik uzmanları, bazı güvenlik açıklarının NIST tarafından daha az dikkate alınması nedeniyle kartopu etkisi oluşmasını bekliyor.
Bazı satıcılar, ürünlerindeki güvenlik açıkları hakkında çok az bilgi açıklıyor. NIST bu analiz boşluğunu doldurmadığında sorumluluk sonuçta tehdit avcılarına, araştırmacılara ve güvenlik şirketlerine düşüyor.
Mitre Corp.’unki gibi başka güvenlik açığı katalogları da mevcuttur. CVE.org ve Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın bilinen istismar edilen güvenlik açıkları kataloğuancak ilki, güvenilir bir gerçek kaynağı olarak federal hükümetin resmi desteğine sahip değildir ve ikincisinin kapsamı sınırlıdır.
“CVE’leri tartışmak için ortak bir dil kullanabilmenin değeri var. Bununla birlikte, şu anda yaşadığımız gibi tek bir başarısızlık noktasına sahip olma endişelerini de görüyorum” dedi Austin.
Austin’e göre geçici gecikmeler, kuruluşların ortamlarındaki hangi yazılım ve ürünlerin belirli bir CVE’ye karşı savunmasız olduğunu anlamalarını zaten çok daha zorlaştırdı.
Austin, “Güvenlik açığı yönetiminde çalışanlar ve kullandıkları araçlar, NVD sorunlarının bir sonucu olarak büyük bir dezavantajla karşı karşıyadır” dedi.
NVD’nin karşılaştığı zorluklar
NIST’in analiz etmesi gereken çok sayıda güvenlik açığı, kurumun kaynak kısıtlamalarıyla birleştiğinde NVD’de birikmiş iş yığını yarattı.
“NVD yavaşlaması başlamadan önce bile NVD, yıllardır artan sayıdaki açıklamaların analizinde önemli ölçüde geride kalıyordu; belirli bir güvenlik açığının analizi genellikle iki ila altı hafta arasında değişiyordu. Zamanla kapsamdaki bu boşluk, CVE ve NVD’nin gözden kaçırdığı 100.000’den fazla güvenlik açığıyla sonuçlandı.” Flashpoint araştırmasına göre.
Bütçe tek başına NIST’in kısıtlamalarını çözemez çünkü yapay zeka, iklim, iletişim, siber güvenlik, sağlık, altyapı, üretim ve kuantum bilimiyle ilgili sorunları analiz etmek için gereken özel becerilere sahip insanlar azdır. Ajansın, ölçüm bilimini, standartları ve teknolojiyi geliştirerek ABD’nin yenilikçiliğini ve rekabetçiliğini teşvik etme konusunda geniş bir yetkisi vardır.
Bu tür yüce bir görev kaynak gerektirir.
Yaklaşık 3.400 kişilik bir işgücüne ve 2023 mali yılı bütçesine sahip olan ajansın, 1,6 milyar dolardır-dir uzmanlaşmış yetenekler için rekabet etme ve elde tutma mücadelesi ABD Hükümeti Sorumluluk Ofisi’nin 2023 tarihli raporuna göre rekabetçi bir pazarda.
NIST, NVD’den kaç çalışanın sorumlu olduğu veya iyileştirme sürecini ne zaman tamamlayıp normal operasyonlara dönmeyi beklediğine ilişkin soruları yanıtlamadı.
NIST’in analiz kaynaklarının büyük bir kısmı, Condon’a göre teorik olarak yazılım satıcısı için en uygun iş olan CPE oluşturmaya harcanıyor.
“Herhangi bir yazılım satıcısının bunun kendi sorumluluğu olduğunu veya bunu yapabilecek en iyi konumda olduklarını bilip bilmediğini merak ediyorum” dedi.
Mevcut model çalışmıyor ve bu, siber güvenlik endüstrisindeki daha fazla kuruluşun ve uzmanın NIST’e daha az güvenmesi ve adım atması gerektiğinin altını çiziyor.
Condon, “Bize ne borçlu olduklarını bilmiyorum” dedi. “Enerjimizin, beyin gücümüzün ve tartışmamızın daha büyük bir kısmının, sürecin bugünkü işleyişini, sorunlu noktaların nerede olduğunu, ne yapmamız gerektiğini ve ardından ölçeklenebilirlik iyileştirmeleri için fırsatların nerede olduğunu anlamaya yönelik olmasını umuyorum.”