Generatiivinen tiedustelu

Cyber ​​Security

NISTin Vuln-tietokanta muuttuu alaspäin, mikä herättää kysymyksiä sen tulevaisuudesta

Jälleen julkaissut Platon
Jälleen julkaissut Platon

Treffi:

Luettu: 0

Koska 2005, Kansallinen haavoittuvuustietokanta (NVD) on julkaissut tietoja sadoista päivittäisistä yleisistä haavoittuvuuksista ja altistumisista (CVE), joita tietoturvatutkijat ovat löytäneet ympäri maailmaa. Mutta viime kuussa tärkeä hallituksen tukema tietokanta muuttui välttämättömästä työkalusta lähes synkäksi kohteeksi.

Silloin NVD julkaisi verkkosivuillaan erittäin salaperäisen ilmoituksen, jonka mukaan käyttäjät "näkevät tilapäisesti viiveitä [meidän] analyysitoimissamme", kun National Institute of Standards and Technology (NIST) ottaa käyttöön parannettuja työkaluja ja menetelmiä. Sen enempää selitystä ei ole tullut. 

Jäätyminen ei ole täysin yleistä: NIST on dokumentoinut pienen osan CVE:stä, mutta ei suinkaan samalla nopeudella kuin aikaisempina vuosina. Tämä asettaa yritysten tietoturvapäälliköt pysymään uusien uhkien kärjessä.

CVE-malli koostuu 365 kumppanista, jotka keräävät uhkia, joista noin puolet on Yhdysvalloissa, ja kattaa laajan valikoiman ohjelmistotoimittajia, bug bounty -operaattoreita ja yksityisiä tutkimusyrityksiä. Jokainen osallistuja lähettää uusia uhkia huolellisen skeeman mukaisesti varmistaakseen, että uudet kohteet ovat ainutlaatuisia. Vuoden alusta lähtien on julkaistu yli 6,000 XNUMX uutta CVE:tä.

Mutta jostain selittämättömästä syystä lähes puolet näistä on jättänyt pois NVD:stä mitään yksityiskohtia, jotka tekevät haavoittuvuustiedoista hyödyllisiä yritysten tietoturvapäälliköille ja lukuisille haavoittuvuuksien hallintatyökaluille, jotka voivat auttaa estämään hyökkääjien aiheuttamia mahdollisia vahinkoja.

Yksi näistä työkaluista on Tenablen Nessus-haavoittuvuusskanneri. Sen tutkijat huomauttavat, että NIST:n NVD tarjoaa lisäkontekstia jokaiselle haavoittuvuudelle, kontekstin, joka voi määrittää, onko uhka kriittinen ja vaatiiko välitöntä korjausta vai voiko se vaikuttaa laajaan joukkoon sovelluksia ja käyttöjärjestelmiä. 

Dan Lorenc, Chainguardin toimitusjohtaja, kirjoitti viestin LinkedInissä viime kuussa dokumentoida tilannetta. "[Viimeisimmät] CVE-merkinnät eivät sisällä metatietoja siitä, mihin ohjelmistoon todellisuudessa vaikuttaa", hän kirjoitti. "Tämä on valtava ongelma, ja todellisen ongelman puuttuminen [NIST:ltä] on huolestuttavaa." 

Lorenc ei ole yksin tämän tunteen kanssa. "Tämä on kansallisesti tärkeä tietojoukko", sanoo Anchoren Josh Bressers, joka myös julkaisi kommentteja tilanteesta aikaisemmin tässä kuussa. ”Olisin odottanut selkeämpää viestintää, koska kukaan ei tiedä mitään. Se kaikki on mysteeriä."

NIST:n edustajat eivät vastanneet Dark Readingin kommenttipyyntöihin.

Ennen helmikuun jäädytystä NIST päivitti säännöllisesti jokaista CVE:tä näillä hyödyllisillä metatiedoilla; joskus nämä päivitykset kestäisivät viikkoja tai kuukausia niiden löytämisestä NVD-merkinnöissä ilmoittamiseen. "Kuitenkin, kuten teollisuus on nähnyt, NISTin odottaminen CVE-tietueiden täydentämiseksi maksaa. Koska CVE:itä julkaistaan ​​joka vuosi, meillä on nyt enemmän mahdollisuuksia ohjelmistotoimittajille tarjota täydellisempiä CVE-tietueita. Kestävät tutkijat sanoivat. Käännettynä se tarkoittaa, että jonkun muun on otettava haltuun.

Morphisec, tietoturvatyökalujen toimittaja, julkaisi NVD-tilannetta kuvaavan blogikirjoituksen aikaisemmin tässä kuussa. ”Pienet organisaatiot jahtaavat jatkuvasti korjaustiedostoja. NVD:n metatietojen puute tarkoittaa, että he menettävät välittömät hyödyt ja heikentävät yleistä turvallisuuttaan”, sanoo Michael Gorelik, Morphisecin teknologiajohtaja. "Tämä tarkoittaa, että mahdolliset liiketoiminnan häiriöt ovat väistämättömiä, varsinkin nykyisessä ransomware-ympäristössä. Tämä on suurempi välitön ongelma kuin GenAI:n aiheuttamat uhat."

Netrisen toimitusjohtaja Tom Pace sanoo, että jäätyminen on ongelma. "Emme enää tiedä tiettyjen haavoittuvuuksien vaikutuksia", hän sanoo. "Tämä ei ole hyvä tilanne. Monet ihmiset ympäri maailmaa luottavat tähän tietosarjaan. Tämä tekee paikastamisesta vaikeampaa ja hitaampaa." Tämä tarkoittaa, että huonoilla toimijoilla on enemmän aikaa löytää tiensä yritysverkostoihin.

Yksi vaihtoehto: MITER astuu ylös täyttääkseen aukon

NIST saattaa olla NVD:stä vastuussa oleva virasto, mutta leijonanosa sen takana olevasta varsinaisesta työtuotteesta tulee tunnetulta puolustusurakoitsijalta MITRE, sillä se huolehtii CVE-kokoelmasta. Pace sanoo: "Se ei ole teknistä - miksi MITRE ei ota löysää? NISTillä on joka tapauksessa pienempi miehistö." Hän huutaa MITERiä, koska hän kaatui tehtävässään ja jätti turvaryhmät hämärään. 

Dark Readingin lisätietopyynnöt MITERiltä torjuttiin: "MITRE ei voi puhua tästä aiheesta tällä hetkellä", sanoi yrityksen edustaja. Pace kysyy: "Kuinka yksityinen teollisuus voi selvittää sen itse?" 

Yksityinen teollisuus on varmasti työskennellyt NVD-vaihtoehtojen parissa. Tätä varten yksi tietoturvakonsultti kommentoi LinkedInissä, että "NVD:tä ei voida korjata, ja meidän on luovuttava siitä ja korjattava sekä se että CVE yhdessä. Yhdysvaltain hallitus ei aio ratkaista tätä, ja ratkaisujen on ohjattava yksityistä sektoria. 

Vuosikymmenten aikana on luotu lukuisia muitakin tietokokoelmia. Useat tietoturvatoimittajat, kuten Tenable, Qualys ja Ivanti, ovat luoneet omia haavoittuvuuskokoelmia, jotka sisältävät enemmän metadataa ja muita kohteita hyökkäysten estämiseksi. Ja on olemassa useita avoimen lähdekoodin ponnisteluja, jotka ovat olleet käynnissä vuosia, mutta ovat saaneet viime aikoina enemmän huomiota NVD:n jäädyttämisen ansiosta. 

Yksi avoimen lähdekoodin yritys on peräisin VulnCheck, jolla on NVD++-kokoelma. Toinen on Avaa haavoittuvuustietokanta (OVD) alkaen a erilaisia ​​myyjiä, mukaan lukien Google, SonarSource, GitHub, Snyk ja muut. Molemmat johtuivat NVD-käyttäjien turhautumisesta, koska he halusivat saada paremman automaattisen haavoittuvuustietojen kyselyn. NIST NVD oli asettanut näille kyselyille nopeusrajoituksia, jotka sekä NVD++ että OVD ovat poistaneet. Siirtyminen kumpaan tahansa kokoelmaan NISTin NVD:stä ei ole yksinkertaista ja vaatii ohjelmointiponnisteluja ja testausaikaa.

Toinen pyrkimys tulee Kiinasta, jossa useat valtion virastot ovat kokoontuneet yhteen oman haavoittuvuustietokantansa. Tämä voi olla huono uutinen muulle maailmalle, koska sillä on rajoituksia julkaistavalle asialle, kuten NVD:lle ja avoimille järjestelmille tyypillisten todisteiden puuttuminen. Tutkijat spekuloivat, että tämä voisi myös johtaa uusiin kiinalaisiin nollapäivähyökkäyksiin, mikä itse asiassa asettaisi nämä haavoittuvuudet.

Toinen ratkaisu: uusi teollisuuskonsortio

NVD:n verkkosivuilla olevissa tiedoissa mainitaan konsortio, joka voisi käyttää tietokantaa, vaikka tietoturvatutkijat ovatkin skeptisiä. Lausunto oli ohut yksityiskohdista, kuten siitä, kuka on osa työtä. Pace sanoo: "Olemme paljastaneet ja rikastaneet haavoittuvuuksia saman prosessin mukaisesti vuosia ja melko tehokkaasti. Miksi tarvitsemme konsortiota nyt?" Bressers sanoo, että konsortio on mahdollinen, mutta paholainen on yksityiskohdissa tehtäessä hyödyllisempää seuraajaa NVD:lle. Hän mainitsee, että haavoittuvuudet kasvavat edelleen räjähdysmäisesti ja että kaikkien ratkaisujen on skaalattava vastaavasti.

Lopuksi, toinen monimutkaisuus NVD:n jäädyttämisessä on, että se on vastoin liittovaltion muiden osien raportointivaatimuksia. Federal Risk and Authorization Management -ohjelman uusin versio, Rev. 5 velvoittaa liittovaltion urakoitsijoiden käyttämään NVD:tä arvovaltaisena uhkien lähteenä. "Tuntuu siltä, ​​että NIST yrittää jollakin tavalla lopettaa tämän ohjelman tai luovuttaa sen, kun muut hallituksen alueet pakottavat sen omaksumaan", Lorenc totesi blogikirjoituksessaan. "Mitä täällä tapahtuu?"

Ensi viikolla haavoittuvuustutkijat kokoontuvat VulnCon-konferenssi Raleighissa, NC, jossa "NVD-symposium" on asialistalla. Ehkä sitten tulee lisää yksityiskohtia. 

spot_img

Uusin älykkyys

spot_img

Tekijänoikeus @ 2024 Plato Technologies Inc.