Yönetişim ve Risk Yönetimi, Devlet, Sektöre Özel
Federal Veri Tabanı, Operasyonların Durması Nedeniyle 10.000 Analiz Edilmemiş Güvenlik Açığına Yaklaştı
Chris Riotta (@chrisriotta) •
13 Mayıs 2024
ABD’nin güvenlik açıklarını izlemeye yönelik federal veri tabanı neredeyse durma noktasına geldi. Uzmanlar, devasa birikmiş iş yükünün ve devam eden sorunların kritik sektörlerde tedarik zinciri risklerine yol açabileceği konusunda uyardığı için, yeni açıklanan güvenlik açıkları ve risklere ilişkin analiz neredeyse yok denecek kadar az.
Ayrıca bakınız: İsteğe Bağlı | Gelişmiş Uç Nokta Stratejileri Sayesinde Sıfır Güven Hedeflerinize Nasıl Ulaşabilirsiniz?
Basitçe söylemek gerekirse: Ulusal Güvenlik Açığı Veritabanı bozuk ve kolay bir düzeltmesi yok.
Siber Tehdit İttifakı başkanı ve CEO’su ve Ulusal Güvenlik Konseyi’nin eski siber güvenlik koordinatörü Michael Daniel, NVD’nin sorunlarını çözmek için kritik bir sorunun çözülmesi gerektiğini söyledi. Kapsamlı ve eyleme geçirilebilir risk bilgileri sağlamak için veritabanını bilgilerle doldurmaktan kim sorumlu olmalıdır? Şu anda Ulusal Standartlar ve Teknoloji Enstitüsü tarafından yönetilen veri tabanının, Siber Güvenlik ve Altyapı Güvenlik Ajansı’na mı, hatta güvenlik açığı yönetimi sürecinin çoğunu yöneten özel sektöre mi taşınması gerektiği konusunda tartışmalar var.
Daniel, Information Security Media Group’a “Bu farklı yaklaşımların artıları ve eksileri var” dedi. Güvenlik ve güvenlik açığı yönetimi topluluklarındaki ilgili paydaşların bir araya gelmesi ve “hangi yaklaşımın en iyi sonucu üreteceği konusunda fikir birliğine varması” gerektiğini söyledi.
“Bu soruyu yanıtladığımızda, işlevin sağlam bir şekilde finanse edildiğinden ve desteklendiğinden emin olmalıyız” diye ekledi.
NIST verilerine göre şu anda en az 9.762 CVE NVD tarafından analiz edilmedi. Sayının artması muhtemel. Pazartesi itibarıyla NIST, Mayıs ayında alınan yaklaşık 2.000 yeni CVE’den yalnızca ikisini analiz etti.
NIST, NVD’nin birikmiş birikimini Nisan ayı sonlarında ajansın sorunları “yazılımdaki artış ve dolayısıyla güvenlik açıklarının yanı sıra kurumlar arası destekteki değişiklik” de dahil olmak üzere “çeşitli faktörlere” bağlayan bir bildirim yayınlamasıyla kabul etti.
NIST, kurumlar arası destekteki belirgin kesinti hakkında daha fazla ayrıntı sunmadı ve devam eden birikmiş iş yığınına ilişkin yorum talebine yanıt vermedi. Ajans, Nisan ayındaki duyurusunda, NVD’yi geliştirmek ve işbirliği yapmak için potansiyel olarak endüstri, hükümet ve paydaş kuruluşlardan oluşan bir konsorsiyumun kurulması da dahil olmak üzere “uzun vadeli çözümlere baktığını” söyledi.
Risk tabanlı güvenlik açığının kurucu ortağı Scott Kuffer’a göre, NVD birikimi potansiyel olarak CrowdStrike, Microsoft Defender for Endpoint gibi büyük siber güvenlik sağlayıcılarını ve hatta Orca ve Wiz gibi önde gelen bulut güvenliği duruş yönetimi araçlarından bazılarını etkileyebilir. yönetim platformu Nucleus Security.
Kuffer, ISMG’ye şöyle konuştu: “Eğer ana tarama motorlarını NVD’nin üzerine çıkarıyorlarsa (ki bunların çoğu öyledir), o zaman güvenlik açıklarını tespit etme yetenekleri tamamen engellenmese bile ciddi şekilde etkilenir.” dedi Kuffer, ISMG’ye.
“En büyük etki, ortamınızda görmediğiniz veya bilmediğiniz güvenlik açıklarının bulunmasıdır” diye ekledi.
Bazı tehdit analistleri, endüstrinin gerçek zamanlı tespit yöntemleri konusunda yetenekli olduğunu zaten kanıtlamış olması nedeniyle, özel sektörün güvenlik açıklarını tespit etme ve raporlama konusunda daha fazla sorumluluk alması gerektiğini savundu. Özel sektör kuruluşları halihazırda güvenlik açıklarını bir CVE olarak belirlemekten sorumludur ve onların uzmanlığı ve çevikliği, güvenlik açığı yönetimi çabalarının genel etkinliğini artırabilir.
Karşı argüman ise veri tabanının federal ellerde kalması, güvenlik açığı yönetimi konusunda kamu-özel sektör işbirliğinin daha iyi teşvik edilmesi ve tutarlı standartlar ve gözetim sağlanmasıdır. Federal düzeyde merkezi bir yaklaşım, potansiyel olarak özel sektör çıkar çatışmalarının azaltılmasına da yardımcı olabilir ve sektör risk yönetimi kurumları genelinde kritik güvenlik açıklarının ele alınmasını sağlayarak ulusal güvenliğin ve kritik altyapının daha fazla korunmasını sağlayabilir.
NVD programı güvenlik açığı testi gerçekleştirmez; CVE’lere risk nitelikleri ve ek bilgiler atamak için üçüncü taraf güvenlik araştırmacılarına, satıcılara ve güvenlik açığı koordinatörlerine güvenir. NVD personeli, CVE açıklamalarından veri noktaları toplamak ve çevrimiçi olarak halka açık olarak bulunabilecek her türlü ek veriyi derlemekle görevlendirilmiştir.
BT hizmet yönetimi firması Chainguard’ın pazarlamadan sorumlu başkan yardımcısı Kaylin Trychon, Nisan ayında Kongre ve Ticaret Bakanlığı’na ve yaklaşık 50 güvenlik uzmanına NVD operasyonlarını eski haline getirme ve geliştirme ihtiyacını ifade eden bir mektup imzaladı. Mektup, Kongre’yi veritabanını çevreleyen zorluklara ilişkin bir soruşturma başlatmaya ve güvenlik açığı zenginleştirme sürecini geri yüklemeye yardımcı olmaya çağırdı.
Mektup, Kongre’nin NVD’yi veri tabanı ve zenginleştirme operasyonları için finansmanı ve federal kaynakları potansiyel olarak genişletebilecek kritik bir altyapı ve temel bir hizmet olarak ele almasını önerdi. Trychon, NVD’nin sorumluluklarının özel sektöre devredilmesinin felakete yol açacağını düşünüyor.
ISMG’ye, “NVD’ye müdahale etmek veya NVD’nin yerini almak için daha fazla kaynak yaratılacak ve bu, zaten karmaşık olan bir alanda daha da fazla kafa karışıklığına neden olacak” dedi. “Bu, endüstri olarak karşılayamayacağımız bir şey ve çok önlenebilir bir güvenlik olayına yol açabilir.”
Uzmanlar, ISMG’ye, NIST analistlerinin yavaşlamanın otomatik hale getirilmesinden önce yaptıklarının bir kısmını anlattı; bu, daha yüksek kaliteli, zamanında ve tutarlı NVD verilerinin sağlanmasına olanak sağladı. Ancak o zaman bile kaynak sıkıntısı çeken kuruluşların hangi güvenlik açıklarının hangi sırayla yamalanacağına karar vermesi gerekiyor.
Daniel, “NVD verileri kuruluşların bu önceliklendirme kararlarını almasına yardımcı oluyor” dedi. “NVD verileri tutarlı veya zamanlı değilse, bu durum tüm ekosistemi daha az güvenli hale getirir çünkü şirketler iyi önceliklendirme kararları alamazlar.”