Νοημοσύνη δεδομένων Πλάτωνα.
Κάθετη Αναζήτηση & Αι.

Κυβερνασφάλεια

Η βάση δεδομένων Vuln του NIST μειώνεται, δημιουργώντας ερωτήσεις σχετικά με το μέλλον της

Αναδημοσίευση από τον Πλάτωνα
Αναδημοσίευση από τον Πλάτωνα

Ημερομηνία:

Εμφανίσεις: 0

Από 2005, η Εθνική βάση δεδομένων ευπάθειας (NVD) έχει δημοσιεύσει λεπτομέρειες σχετικά με τις εκατοντάδες καθημερινές κοινές ευπάθειες και εκθέσεις (CVE) που ανακαλύπτουν ερευνητές ασφαλείας από όλο τον κόσμο. Όμως, τον περασμένο μήνα, η κρίσιμη βάση δεδομένων που χρηματοδοτείται από την κυβέρνηση μετατράπηκε από ένα ουσιαστικό εργαλείο σε έναν σχεδόν σκοτεινό προορισμό.

Τότε ήταν που η NVD δημοσίευσε στον ιστότοπό της μια πολύ κρυπτική ανακοίνωση λέγοντας ότι οι χρήστες «θα δουν προσωρινά καθυστερήσεις στις προσπάθειες ανάλυσης [μας]», καθώς το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) εφαρμόζει βελτιωμένα εργαλεία και μεθόδους. Δεν έχει δοθεί περαιτέρω εξήγηση. 

Το πάγωμα δεν είναι εντελώς γενικό: Ένα μικρό ποσοστό των CVE τεκμηριώνεται από το NIST, αλλά σε καμία περίπτωση με την ίδια ταχύτητα που παρατηρήθηκε τα προηγούμενα χρόνια. Αυτό θέτει τους διαχειριστές ασφάλειας επιχειρήσεων σε δέσμευση να παραμείνουν στην κορυφή των νέων απειλών.

Το μοντέλο CVE αποτελείται από 365 εταίρους που συλλέγουν απειλές, με τους μισούς περίπου από αυτούς να εδρεύουν στις ΗΠΑ, καλύπτοντας ένα ευρύ φάσμα προμηθευτών λογισμικού, χειριστών επιβράβευσης σφαλμάτων και ιδιωτικών εταιρειών έρευνας. Κάθε συμμετέχων δημοσιεύει νέες απειλές σύμφωνα με ένα προσεκτικό σχήμα για να διασφαλίσει ότι τα νέα στοιχεία είναι μοναδικά. Από την αρχή του έτους, έχουν δημοσιευτεί περισσότερα από 6,000 νέα CVE.

Ωστόσο, για κάποιον ανεξήγητο λόγο, σχεδόν τα μισά από αυτά έχουν παραλείψει οποιαδήποτε λεπτομέρεια στο NVD, λεπτομέρειες που κάνουν τα δεδομένα ευπάθειας χρήσιμα για τους διαχειριστές ασφάλειας επιχειρήσεων και για τα πολυάριθμα εργαλεία διαχείρισης ευπάθειας που μπορούν να βοηθήσουν στην πρόληψη πιθανών ζημιών από εισβολείς.

Ένα από αυτά τα εργαλεία είναι ο σαρωτής ευπάθειας Nessus της Tenable. Οι ερευνητές του επισημαίνουν ότι το NVD του NIST παρέχει πρόσθετο πλαίσιο σε κάθε συγκεκριμένη ευπάθεια, πλαίσιο που μπορεί να καθορίσει εάν η απειλή είναι κρίσιμη και απαιτεί άμεση επιδιόρθωση ή μπορεί να επηρεάσει έναν ευρύ πληθυσμό εφαρμογών και λειτουργικών συστημάτων. 

Dan Lorenc, Διευθύνων Σύμβουλος της Chainguard, έγραψε μια ανάρτηση στο LinkedIn τον περασμένο μήνα τεκμηρίωση της κατάστασης. «Οι [πιο πρόσφατες] καταχωρήσεις CVE δεν περιέχουν μεταδεδομένα σχετικά με το ποιο λογισμικό επηρεάζεται πραγματικά», έγραψε. «Αυτό είναι ένα τεράστιο ζήτημα και η έλλειψη οποιασδήποτε πραγματικής δήλωσης για το πρόβλημα [από το NIST] είναι ανησυχητική». 

Ο Λόρεντς δεν είναι μόνος σε αυτό το συναίσθημα. «Πρόκειται για ένα σύνολο δεδομένων εθνικής σημασίας», λέει ο Josh Bressers του Anchore, ο οποίος επίσης δημοσίευσε σχόλια για την κατάσταση νωρίτερα αυτό το μήνα. «Θα περίμενα πιο ξεκάθαρες επικοινωνίες γιατί κανείς δεν ξέρει τίποτα. Είναι όλα ένα μυστήριο».

Οι εκπρόσωποι του NIST δεν απάντησαν σε αιτήματα για σχόλια από το Dark Reading.

Πριν από το πάγωμα του Φεβρουαρίου, το NIST ενημέρωσε τακτικά κάθε CVE με αυτά τα χρήσιμα μεταδεδομένα. Μερικές φορές αυτές οι ενημερώσεις θα χρειάζονταν εβδομάδες ή μήνες από την ημερομηνία ανακάλυψής τους μέχρι να αποκαλυφθούν στις καταχωρήσεις NVD. «Ωστόσο, όπως έχει δει η βιομηχανία, η αναμονή από το NIST για τη συμπλήρωση των εγγραφών CVE έχει κόστος. Με περισσότερα CVE να εκδίδονται κάθε χρόνο, έχουμε πλέον περισσότερες ευκαιρίες για τους προμηθευτές λογισμικού να παρέχουν πιο ολοκληρωμένες εγγραφές CVE.» Είπαν οι αξιόπιστοι ερευνητές. Μετάφραση, αυτό σημαίνει ότι κάποιος άλλος πρέπει να πάρει το χαλαρό.

Morphisec, ένας προμηθευτής εργαλείων ασφαλείας, δημοσίευσε μια ανάρτηση ιστολογίου που περιγράφει την κατάσταση της NVD νωρίτερα αυτό το μήνα. «Οι μικρότεροι οργανισμοί κυνηγούν συνεχώς μπαλώματα. Η έλλειψη μεταδεδομένων με το NVD σημαίνει ότι χάνουν τα άμεσα οφέλη και θα μειώσει τη συνολική ασφάλειά τους», λέει ο Michael Gorelik, CTO της Morphisec. «Αυτό σημαίνει ότι η πιθανή διακοπή της επιχείρησης είναι αναπόφευκτη, ειδικά στο πλούσιο σε ransomware τοπίο που έχουμε σήμερα. Αυτό είναι ένα μεγαλύτερο άμεσο πρόβλημα από τις απειλές που θέτει η GenAI».

Ο Tom Pace, Διευθύνων Σύμβουλος της Netrise, λέει ότι το πάγωμα είναι πρόβλημα. «Δεν γνωρίζουμε πλέον τις επιπτώσεις συγκεκριμένων τρωτών σημείων», λέει. «Αυτή δεν είναι καλή κατάσταση. Αυτό το σύνολο δεδομένων βασίζεται σε πολλούς ανθρώπους σε όλο τον κόσμο. Αυτό θα κάνει την επιδιόρθωση πιο δύσκολη και πιο αργή.” Αυτό σημαίνει ότι οι κακοί ηθοποιοί έχουν περισσότερο χρόνο για να βρουν το δρόμο τους στα εταιρικά δίκτυα.

Μία εναλλακτική: Ο MITER ανεβαίνει για να καλύψει το κενό

Μπορεί η NIST να είναι η αρμόδια υπηρεσία για το NVD, αλλά η μερίδα του λέοντος του πραγματικού προϊόντος εργασίας που βρίσκεται πίσω από αυτό προέρχεται από τον γνωστό εργολάβο αμυντικού εξοπλισμού MITRE, αφού φροντίζει για τη συλλογή CVE. Ο Pace λέει, «Δεν είναι τεχνικό — γιατί ο MITER δεν παίρνει το slack; Το NIST έχει ούτως ή άλλως μικρότερο πλήρωμα». Φωνάζει το MITER ότι έπεσε κάτω στην αποστολή του και άφησε τις ομάδες ασφαλείας στο σκοτάδι. 

Τα αιτήματα της Dark Reading για περαιτέρω πληροφορίες από τη MITER απορρίφθηκαν: «Η MITRE δεν μπορεί να μιλήσει για αυτό το θέμα αυτήν τη στιγμή», δήλωσε εκπρόσωπος της εταιρείας. Ο Pace ρωτά: "Πώς μπορεί να το καταλάβει η ιδιωτική βιομηχανία από μόνη της;" 

Η ιδιωτική βιομηχανία εργάζεται για εναλλακτικές λύσεις NVD, σίγουρα. Για το σκοπό αυτό, ένας σύμβουλος ασφαλείας σχολίασε στο LinkedIn ότι «το NVD δεν μπορεί να διορθωθεί και πρέπει να το εγκαταλείψουμε και να το διορθώσουμε μαζί και το CVE. Η κυβέρνηση των ΗΠΑ δεν πρόκειται να το λύσει αυτό και οι λύσεις πρέπει να οδηγηθούν από τον ιδιωτικό τομέα». 

Υπάρχουν πολλές άλλες συλλογές δεδομένων που έχουν δημιουργηθεί κατά τη διάρκεια των δεκαετιών. Αρκετοί προμηθευτές ασφάλειας, όπως οι Tenable, Qualys και Ivanti, έχουν δημιουργήσει τις δικές τους συλλογές ευπάθειας που περιέχουν περισσότερες λεπτομέρειες μεταδεδομένων και άλλα στοιχεία για να αποτρέψουν επιθέσεις. Και υπάρχουν αρκετές προσπάθειες ανοιχτού κώδικα που έχουν ξεκινήσει εδώ και χρόνια, αλλά έχουν τραβήξει πρόσφατα περισσότερη προσοχή, χάρη στο πάγωμα του NVD. 

Μια προσπάθεια ανοιχτού κώδικα είναι από VulnCheck, που διαθέτει τη συλλογή NVD++. Ένα άλλο είναι το Ανοίξτε τη βάση δεδομένων ευπάθειας (OVD) από α ποικιλία πωλητών, συμπεριλαμβανομένων των Google, SonarSource, GitHub, Snyk και άλλων. Και τα δύο προέκυψαν από την απογοήτευση των χρηστών NVD που ήθελαν να έχουν καλύτερα αυτοματοποιημένα ερωτήματα για τα δεδομένα ευπάθειας. Το NIST NVD είχε επιβάλει όρια ρυθμού σε αυτά τα ερωτήματα, τα οποία τόσο το NVD++ όσο και το OVD έχουν καταργήσει. Η μετάβαση σε οποιαδήποτε συλλογή από το NVD του NIST δεν είναι απλή και θα απαιτήσει κάποια προσπάθεια προγραμματισμού και χρόνο δοκιμής.

Μια άλλη προσπάθεια προέρχεται από την Κίνα, όπου αρκετοί κρατικοί φορείς έχουν ενωθεί για να το κάνουν τη δική τους βάση δεδομένων ευπάθειας. Αυτό θα μπορούσε να είναι άσχημα νέα για τον υπόλοιπο κόσμο, επειδή θα έχει περιορισμούς σε ό,τι θα δημοσιευτεί, όπως η έλλειψη οποιασδήποτε απόδειξης εννοιών που είναι τυπική των προσπαθειών NVD και ανοιχτών συστημάτων. Οι ερευνητές εικάζουν ότι αυτό θα μπορούσε επίσης να οδηγήσει σε περισσότερες κινεζικές επιθέσεις zero-day, στην πραγματικότητα, οπλίζοντας αυτές τις ευπάθειες.

Μια άλλη λύση: Μια νέα κοινοπραξία βιομηχανίας

Οι πληροφορίες στον ιστότοπο της NVD αναφέρουν μια κοινοπραξία που θα μπορούσε να χειριστεί τη βάση δεδομένων, αν και οι ερευνητές ασφαλείας είναι δύσπιστοι. Η δήλωση ήταν λεπτή σε συγκεκριμένα στοιχεία, όπως ποιος θα είναι μέρος της προσπάθειας. Ο Pace λέει, «Αποκαλύπτουμε και εμπλουτίζουμε τα τρωτά σημεία ακολουθώντας την ίδια διαδικασία εδώ και χρόνια και αρκετά αποτελεσματικά. Γιατί χρειαζόμαστε μια κοινοπραξία τώρα;» Ο Bressers λέει ότι μια κοινοπραξία είναι δυνατή, αλλά ο διάβολος θα είναι στις λεπτομέρειες όταν κάνει έναν πιο χρήσιμο διάδοχο της NVD. Αναφέρει ότι τα τρωτά σημεία συνεχίζουν να παρουσιάζουν εκθετική ανάπτυξη και ότι οποιαδήποτε λύση πρέπει να κλιμακωθεί ανάλογα.

Τέλος, μια άλλη πολυπλοκότητα με το πάγωμα του NVD είναι ότι έρχεται σε αντίθεση με τις απαιτήσεις αναφοράς από άλλα μέρη της ομοσπονδιακής κυβέρνησης. Η πιο πρόσφατη έκδοση, Rev. 5, του προγράμματος Federal Risk and Authorization Management εντολές ότι οι ομοσπονδιακοί εργολάβοι πρέπει να χρησιμοποιούν το NVD ως έγκυρη πηγή απειλών. «Φαίνεται ότι το NIST προσπαθεί με κάποιο τρόπο να τερματίσει αυτό το πρόγραμμα ή να το παραδώσει ενώ άλλοι τομείς της κυβέρνησης αναγκάζουν την υιοθέτησή του», σημείωσε ο Lorenc στην ανάρτησή του στο blog του. "Τι συμβαίνει εδώ?"

Την επόμενη εβδομάδα, οι ερευνητές ευπάθειας θα συγκεντρωθούν για το Διάσκεψη VulnCon στο Raleigh, NC, όπου ένα «συμπόσιο NVD» είναι στην ημερήσια διάταξη. Ίσως τότε προκύψουν περισσότερες λεπτομέρειες. 

spot_img

Τελευταία Νοημοσύνη

spot_img

Πνευματικά δικαιώματα @ 2024 Plato Technologies Inc.

Συνομιλία με μας

Γεια σου! Πώς μπορώ να σε βοηθήσω?