Generative Data Intelligence

Cyber ​​Security

Vuln gagnagrunnur NIST færist niður og vekur spurningar um framtíð hans

Útgefið af Platon
Útgefið af Platon

Dagsetning:

Views: 0

Þar sem 2005, the Landsgagnagrunnur um varnarleysi (NVD) hefur verið að birta upplýsingar um hundruð daglegra algengra veikleika og útsetningar (CVEs) sem öryggisrannsóknarmenn um allan heim uppgötva. En í síðasta mánuði breyttist mikilvægi gagnagrunnurinn sem er styrktur af stjórnvöldum frá því að vera nauðsynlegt tæki í næstum myrkan áfangastað.

Það var þegar NVD birti á vefsíðu sinni mjög dulræna tilkynningu þar sem sagt var að notendur „munu sjá tímabundið tafir á [okkar] greiningarviðleitni“ þar sem National Institute of Standards and Technology (NIST) innleiðir bætt verkfæri og aðferðir. Engar frekari skýringar hafa verið gefnar. 

Frystingin er ekki alveg yfir alla línuna: Lítið hlutfall CVEs er skjalfest af NIST, en alls ekki á sama hraða og sést á fyrri árum. Þetta setur öryggisstjórnendur fyrirtækja í bindindi til að vera á toppnum með nýjar ógnir.

CVE líkanið er samsett af 365 samstarfsaðilum sem safna hótunum, þar af um helmingur þeirra í Bandaríkjunum, sem nær yfir breitt úrval hugbúnaðarframleiðenda, villufjárveitinga og einkarekinna rannsóknarfyrirtækja. Hver þátttakandi birtir nýjar ógnir í samræmi við vandað skema til að tryggja að nýju atriðin séu einstök. Frá áramótum hafa meira en 6,000 ný CVE verið birt.

En af einhverjum óútskýrðum ástæðum hefur næstum helmingur þeirra sleppt öllum upplýsingum í NVD, smáatriðum sem gera varnarleysisgögnin gagnleg fyrir öryggisstjóra fyrirtækja og fyrir fjölmörg varnarleysisstjórnunartæki sem geta hjálpað til við að koma í veg fyrir hugsanlegt tjón af völdum árásarmanna.

Eitt af þessum verkfærum er Nessus varnarleysisskanni Tenable. Rannsakendur þess benda á að NVD's NIST veitir aukið samhengi við hvern tiltekinn varnarleysi, samhengi sem getur ákvarðað hvort ógnin sé mikilvæg og krefst tafarlausrar plásturs eða getur haft áhrif á breitt hóp forrita og stýrikerfa. 

Dan Lorenc, forstjóri Chainguard, skrifaði færslu á LinkedIn í síðasta mánuði skrásetja ástandið. „[nýjustu] CVE færslurnar innihalda engin lýsigögn um hvaða hugbúnað er raunverulega fyrir áhrifum,“ skrifaði hann. „Þetta er stórt mál og skortur á raunverulegri yfirlýsingu um vandamálið [af NIST] er áhyggjuefni. 

Lorenc er ekki einn um þá tilfinningu. „Þetta er gagnasafn sem skiptir máli á landsvísu,“ segir Josh Bressers frá Anchore, sem einnig er setti inn athugasemdir um ástandið fyrr í þessum mánuði. „Ég hefði búist við skýrari samskiptum því enginn veit neitt. Þetta er allt ráðgáta."

Fulltrúar NIST svöruðu ekki beiðnum um athugasemdir frá Dark Reading.

Fyrir frystingu í febrúar uppfærði NIST reglulega hvern CVE með þessum gagnlegu lýsigögnum; stundum myndu þessar uppfærslur taka vikur eða mánuði frá þeim degi sem þær fundust þar til þær voru birtar í NVD-færslunum. „Hins vegar, eins og iðnaðurinn hefur séð, kostar það að bíða eftir NIST til að bæta við CVE færslum. Þar sem fleiri CVE eru gefin út á hverju ári, höfum við nú fleiri tækifæri fyrir hugbúnaðarframleiðendur til að veita fullkomnari CVE færslur,“ Varanlegir vísindamenn sögðu. Þýtt þýðir það að einhver annar þarf að taka upp slakann.

Morphisec, söluaðili öryggisverkfæra, birt bloggfærslu þar sem ástandinu í NVD er lýst fyrr í þessum mánuði. „Minni stofnanir eru stöðugt að elta plástra. Skortur á lýsigögnum með NVD þýðir að þeir missa strax ávinninginn og mun draga úr heildaröryggi þeirra,“ segir Michael Gorelik, tæknistjóri Morphisec. „Þetta þýðir að hugsanleg viðskiptaröskun er óhjákvæmileg, sérstaklega í því landslagi sem er ríkt af lausnarhugbúnaði sem við búum við í dag. Þetta er stærra strax vandamál en ógnirnar sem stafar af GenAI.

Tom Pace, forstjóri Netrise, segir að frystingin sé vandamál. „Við vitum ekki lengur hvaða áhrif tilteknir veikleikar hafa,“ segir hann. „Þetta er ekki góð staða. Margt fólk um allan heim treystir á þetta gagnasett. Þetta mun gera plástur erfiðari og hægari.“ Það þýðir að slæmir leikarar hafa meiri tíma til að rata inn í fyrirtækjanet.

Einn valkostur: MITER stígur upp til að fylla skarðið

NIST kann að vera stofnunin sem ber ábyrgð á NVD, en bróðurpartinn af raunverulegri vinnuafurð sem liggur að baki kemur frá hinum þekkta varnarverktaka MITRE, þar sem það sér um CVE söfnunina. Pace segir: „Þetta er ekki tæknilegt - hvers vegna er MITER ekki að taka upp slakann? NIST er samt með minni áhöfn.“ Hann kallar MITER fyrir að hafa fallið niður í verkefni sínu og skilið öryggisteymi eftir í myrkri. 

Beiðnum Dark Reading um frekari upplýsingar frá MITER var hafnað: „MITRE getur ekki tjáð sig um þetta efni eins og er,“ sagði fulltrúi fyrirtækisins. Pace spyr: „Hvernig getur einkaiðnaðurinn fundið það út sjálfur? 

Einkaiðnaðurinn hefur unnið að NVD valkostum, svo sannarlega. Í því skyni sagði einn öryggisráðgjafi á LinkedIn að „NVD er ekki hægt að laga og við verðum að gefa það upp og laga bæði það og CVE saman. Bandarísk stjórnvöld ætla ekki að leysa þetta og lausnir verða að vera knúnar áfram af einkageiranum.“ 

Það eru fjölmörg önnur gagnasöfn sem hafa orðið til í gegnum áratugina. Nokkrir öryggisframleiðendur, eins og Tenable, Qualys og Ivanti, hafa búið til sín eigin varnarleysissöfn sem innihalda fleiri upplýsingar um lýsigögn og önnur atriði til að koma í veg fyrir árásir. Og það eru nokkrir opinn uppspretta tilraunir sem hafa verið í gangi í mörg ár en hafa fengið meiri athygli undanfarið, þökk sé NVD frystingu. 

Eitt opið átak er frá VulnCheck, sem er með NVD++ safnið sitt. Annað er Opna varnarleysisgagnagrunn (OVD) frá a úrval af söluaðilum, þar á meðal Google, SonarSource, GitHub, Snyk og fleiri. Báðar þessar spruttu upp vegna gremju NVD notenda sem vildu hafa betri sjálfvirkar fyrirspurnir um varnarleysisgögnin. NIST NVD hafði sett gjaldskrártakmarkanir á þessar fyrirspurnir, sem bæði NVD++ og OVD hafa eytt. Það er ekki einfalt að skipta yfir í annaðhvort safn úr NVD NIST og mun krefjast smá forritunarátaks og prófunartíma.

Annað átak kemur frá Kína, þar sem nokkrar ríkisstofnanir hafa tekið höndum saman um að hafa þeirra eigin gagnagrunn um varnarleysi. Það gætu verið slæmar fréttir fyrir umheiminn vegna þess að það mun hafa takmarkanir á því sem verður birt, svo sem að það vanti sönnunargögn sem eru dæmigerð fyrir NVD og opna kerfisaðgerðir. Vísindamenn velta því fyrir sér að þetta gæti einnig leitt til fleiri kínverskra núlldagsárása, í raun og veru að vopna þessa veikleika.

Önnur lausn: Nýtt iðnaðarsamsteypa

Upplýsingar á vefsíðu NVD vitna í hóp sem gæti rekið gagnagrunninn, þótt öryggisrannsakendur séu efins. Yfirlýsingin var þunn á einstökum atriðum, svo sem hver verður hluti af átakinu. Pace segir: „Við höfum verið að afhjúpa og auðga veikleika eftir sama ferli í mörg ár, og nokkuð skilvirkt. Af hverju ættum við að þurfa hóp núna? Bressers segir að hópur sé mögulegur, en djöfullinn mun vera í smáatriðum þegar hann gerir gagnlegri arftaka NVD. Hann nefnir að veikleikar haldi áfram að vaxa veldisvísis og að allar lausnir verði að stækka í samræmi við það.

Að lokum, annað flókið við NVD frystingu er að það gengur þvert á skýrslukröfur frá öðrum hlutum alríkisstjórnarinnar. Nýjasta útgáfan, Rev. 5, af Federal Risk and Authorization Management program kveður á um að alríkisverktakar verði að nota NVD sem opinbera uppsprettu hótana. „Það líður eins og NIST sé einhvern veginn að reyna að vinda ofan af þessu forriti eða afhenda það á meðan önnur svæði ríkisstjórnarinnar þvinga fram samþykkt þess,“ sagði Lorenc í bloggfærslu sinni. "Hvað er í gangi hérna?"

Í næstu viku munu varnarleysisrannsóknarmenn safnast saman fyrir VulnCon ráðstefna í Raleigh, NC, þar sem „NVD málþing“ er á dagskrá. Kannski koma fleiri smáatriði í ljós þá. 

blettur_img

Nýjasta upplýsingaöflun

blettur_img

Höfundarréttur @ 2024 Plato Technologies Inc.

Spjallaðu við okkur

Sæll! Hvernig get ég aðstoðað þig?