As reduções do banco de dados Vuln do NIST, levantando questões sobre seu futuro

Desde 2005, o Banco de Dados Nacional de Vulnerabilidades (NVD) tem postado detalhes sobre centenas de vulnerabilidades e exposições comuns (CVEs) descobertas diariamente por pesquisadores de segurança de todo o mundo. Mas no mês passado, a base de dados crítica patrocinada pelo governo deixou de ser uma ferramenta essencial para se tornar um destino quase obscuro.

Foi então que o NVD publicou em seu site um anúncio muito enigmático dizendo que os usuários “verão temporariamente atrasos em [nossos] esforços de análise” à medida que o Instituto Nacional de Padrões e Tecnologia (NIST) implementa ferramentas e métodos aprimorados. Nenhuma explicação adicional foi fornecida.

O congelamento não é totalmente generalizado: uma pequena porcentagem de CVEs está sendo documentada pelo NIST, mas de forma alguma na mesma velocidade vista em anos anteriores. Isso coloca os gerentes de segurança empresarial em uma situação difícil para ficarem atualizados sobre novas ameaças.

O modelo CVE é composto por 365 parceiros que coletam ameaças, sendo cerca de metade deles baseados nos EUA, abrangendo uma ampla gama de fornecedores de software, operadores de recompensas de bugs e empresas privadas de pesquisa. Cada participante publica novas ameaças de acordo com um esquema cuidadoso para garantir que os novos itens sejam únicos. Desde o início do ano, foram publicados mais de 6,000 novos CVEs.

Mas, por alguma razão inexplicável, quase metade deles omitiu quaisquer detalhes no NVD, detalhes que tornam os dados de vulnerabilidade úteis para gestores de segurança empresarial e para as inúmeras ferramentas de gestão de vulnerabilidades que podem ajudar a prevenir potenciais danos causados por atacantes.

Uma dessas ferramentas é o scanner de vulnerabilidade Nessus da Tenable. Os seus investigadores salientam que o NVD do NIST fornece contexto adicional para cada vulnerabilidade específica, contexto que pode determinar se a ameaça é crítica e requer correção imediata ou pode afetar uma vasta população de aplicações e sistemas operativos.

Dan Lorenc, CEO da Chainguard, escreveu uma postagem no LinkedIn no mês passado documentando a situação. “As entradas [mais recentes] do CVE não contêm nenhum metadado sobre qual software é realmente afetado”, escreveu ele. “Esta é uma questão enorme e a falta de qualquer declaração real sobre o problema [por parte do NIST] é preocupante.”

Lorenc não está sozinho nesse sentimento. “Este é um conjunto de dados de importância nacional”, diz Josh Bressers, da Anchore, que também postou comentários sobre a situação no início deste mês. “Eu esperava comunicações mais claras porque ninguém sabe de nada. É tudo um mistério.”

Os representantes do NIST não responderam aos pedidos de comentários de Dark Reading.

Antes do congelamento de fevereiro, o NIST atualizava regularmente cada CVE com esses metadados úteis; às vezes, essas atualizações levariam semanas ou meses desde a data de sua descoberta até a divulgação nas entradas do NVD. “No entanto, como a indústria viu, esperar que o NIST complemente os registros CVE tem um custo. Com mais CVEs sendo emitidos a cada ano, agora temos mais oportunidades para os fornecedores de software fornecerem registros de CVE mais completos”, Pesquisadores da Tenable disseram. Traduzido, isso significa que outra pessoa tem que compensar.

Morphisec, um fornecedor de ferramentas de segurança, publicou uma postagem no blog descrevendo a situação do NVD no início deste mês. “Organizações menores estão constantemente em busca de patches. A falta de metadados com NVD significa que eles estão perdendo os benefícios imediatos e reduzirão sua segurança geral”, afirma Michael Gorelik, CTO da Morphisec. “Isso significa que a potencial interrupção dos negócios é inevitável, especialmente no cenário rico em ransomware que temos hoje. Este é um problema imediato maior do que as ameaças representadas pela GenAI.”

Tom Pace, CEO da Netrise, diz que o congelamento é um problema. “Não conhecemos mais os impactos de vulnerabilidades específicas”, diz ele. “Esta não é uma boa situação. Este conjunto de dados é usado por muitas pessoas em todo o mundo. Isso tornará a correção mais difícil e mais lenta.” Isso significa que os malfeitores têm mais tempo para entrar nas redes corporativas.

Uma alternativa: MITRE avança para preencher a lacuna

O NIST pode ser a agência responsável pelo NVD, mas a maior parte do produto de trabalho real que está por trás dele vem do conhecido empreiteiro de defesa MITRE, uma vez que cuida da coleta de CVE. Pace diz: “Não é técnico – por que o MITRE não está compensando? De qualquer forma, o NIST tem uma equipe menor.” Ele critica o MITRE por falhar em sua missão e deixar as equipes de segurança no escuro.

Os pedidos da Dark Reading para obter mais informações do MITRE foram rejeitados: “O MITRE não pode falar sobre este assunto atualmente”, disse um representante da empresa. Pace pergunta: “Como a indústria privada pode descobrir isso por conta própria?”

A indústria privada tem trabalhado em alternativas ao NVD, com certeza. Para esse fim, um consultor de segurança comentou no LinkedIn que “o NVD não pode ser consertado e temos que desistir dele e consertar tanto ele quanto o CVE juntos. O governo dos EUA não vai resolver isto e as soluções têm de ser impulsionadas pelo setor privado.”

Existem inúmeras outras coleções de dados que foram criadas ao longo das décadas. Vários fornecedores de segurança, como Tenable, Qualys e Ivanti, criaram suas próprias coleções de vulnerabilidades que contêm mais detalhes de metadados e outros itens para ajudar a prevenir ataques. E há vários esforços de código aberto em andamento há anos, mas que recentemente receberam mais atenção, graças ao congelamento do NVD.

Um esforço de código aberto é de VulnCheck, que possui sua coleção NVD++. Outro é o Banco de dados de vulnerabilidade aberto (OVD) de um variedade de fornecedores, incluindo Google, SonarSource, GitHub, Snyk e outros. Ambos surgiram da frustração dos usuários do NVD que queriam ter consultas mais automatizadas dos dados de vulnerabilidade. O NIST NVD impôs limites de taxa para essas consultas, que tanto o NVD++ quanto o OVD eliminaram. Mudar para qualquer coleção do NVD do NIST não é simples e exigirá algum esforço de programação e tempo de teste.

Outro esforço vem da China, onde várias agências governamentais se uniram para ter seu próprio banco de dados de vulnerabilidades. Isso pode ser uma má notícia para o resto do mundo porque terá restrições sobre o que será publicado, como a falta de qualquer prova de conceito típica do NVD e dos esforços de sistemas abertos. Os pesquisadores especulam que isso também poderia levar a mais ataques chineses de dia zero, na verdade, transformando essas vulnerabilidades em armas.

Outra solução: um novo consórcio industrial

As informações no site do NVD citam um consórcio que poderia operar o banco de dados, embora os pesquisadores de segurança estejam céticos. A declaração continha poucos detalhes, como quem fará parte do esforço. Pace diz: “Há anos que divulgamos e enriquecemos vulnerabilidades seguindo o mesmo processo e de forma bastante eficiente. Por que precisaríamos de um consórcio agora?” Bressers diz que um consórcio é possível, mas o diabo estará nos detalhes ao criar um sucessor mais útil para o NVD. Ele menciona que as vulnerabilidades continuam a ter um crescimento exponencial e que qualquer solução deve ser dimensionada de acordo.

Finalmente, outra complexidade do congelamento do NVD é que ele vai contra as exigências de relatórios de outras partes do governo federal. A versão mais recente, Rev. 5, do programa Federal de Gerenciamento de Riscos e Autorizações determina que os empreiteiros federais usem o NVD como uma fonte confiável de ameaças. “Parece que o NIST está de alguma forma tentando desacelerar ou transferir este programa, enquanto outras áreas do governo estão forçando sua adoção”, observou Lorenc em seu blog. "O que está acontecendo aqui?"

Na próxima semana, pesquisadores de vulnerabilidades se reunirão para o Conferência VulnCon em Raleigh, Carolina do Norte, onde um “simpósio NVD” está na agenda. Talvez mais detalhes surjam então.

Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
Fonte: https://www.darkreading.com/cybersecurity-operations/nist-vuln-database-downshifts-prompting-questions-about-its-future

Inteligência de dados generativa

Redução do banco de dados Vuln do NIST, levantando questões sobre seu futuro

Uma alternativa: MITRE avança para preencher a lacuna

Outra solução: um novo consórcio industrial

Dilema de desbloqueio: OP e YGG enfrentam pressão do lado vendedor em meio a lançamentos antecipados de tokens

Observação do mercado: navegando pela pressão do lado do vendedor para tokens OP e YGG em meio a eventos de desbloqueio e aumento recorde de receita de Robinhood

Inteligência mais recente

Desbloqueando a incerteza: como OP e YGG enfrentam pressão do lado vendedor em meio ao desbloqueio de token

Clima de criptomoeda: OP e YGG enfrentam pressão de venda induzida pelo desbloqueio, enquanto Robinhood leva onda de ações de meme para altas de receita

Desbloqueando a incerteza: o impacto dos lançamentos de tokens no OP e no YGG em meio à pressão do lado vendedor

Navegando no mercado: OP e YGG enfrentam pressão do lado vendedor em meio a desbloqueios enquanto Robinhood vê receita recorde e titãs criptográficos fazem movimentos

Pressão e potencial da criptomoeda: navegando pelas datas de desbloqueio do OP e YGG em meio ao aumento da receita do Robinhood e às escolhas do Altcoin do Smart Money

Desbloqueie a ansiedade: os tokens OP e YGG enfrentam pressão do lado do vendedor à medida que as datas de lançamento se aproximam