Platoni andmete intelligentsus.
Vertikaalne otsing ja Ai.

Küberturvalisus

NISTi Vulni andmebaasi nihked, mis tekitavad küsimusi selle tuleviku kohta

Taasesitanud Platon
Taasesitanud Platon

kuupäev:

Vaadatud: 0

Kuna 2005 on Riiklik haavatavuse andmebaas (NVD) on postitanud üksikasju sadade igapäevaste tavaliste haavatavuste ja kokkupuudete (CVE) kohta, mille turvateadlased üle maailma avastavad. Kuid eelmisel kuul muutus valitsuse toetatud kriitiline andmebaas olulisest tööriistast peaaegu pimedaks sihtkohaks.

Siis postitas NVD oma veebisaidile väga salapärase teadaande, milles öeldakse, et kasutajad "näevad [meie] analüüsides ajutiselt viivitusi", kuna National Institute of Standards and Technology (NIST) rakendab täiustatud tööriistu ja meetodeid. Rohkem selgitusi pole tulnud. 

Külmutamine ei ole täiesti üldine: NIST dokumenteerib väikese protsendi CVE-dest, kuid mitte mingil juhul sama kiirusega, nagu varasematel aastatel. See paneb ettevõtte turvajuhid uute ohtudega kursis püsima.

CVE-mudel koosneb 365 partnerist, kes koguvad ohte, millest umbes pooled asuvad USA-s, hõlmates laia valikut tarkvaramüüjaid, veahaldureid ja erauuringufirmasid. Iga osaleja postitab uusi ohte vastavalt hoolikale skeemile, et tagada uute üksuste kordumatus. Alates aasta algusest on postitatud üle 6,000 uue CVE.

Kuid mingil seletamatul põhjusel on peaaegu pooled neist jätnud NVD-st välja kõik üksikasjad, mis muudavad haavatavuse andmed kasulikuks ettevõtete turbejuhtidele ja arvukatele haavatavuse haldustööriistadele, mis võivad aidata vältida ründajate tekitatud võimalikke kahjusid.

Üks neist tööriistadest on Tenable'i Nessuse haavatavuse skanner. Selle teadlased juhivad tähelepanu sellele, et NIST-i NVD annab igale konkreetsele haavatavusele lisakonteksti – konteksti, mis võimaldab kindlaks teha, kas oht on kriitiline ja nõuab viivitamatut paikamist või võib mõjutada suurt hulka rakendusi ja operatsioonisüsteeme. 

Dan Lorenc, Chainguardi tegevjuht, kirjutas eelmisel kuul LinkedInis postituse olukorra dokumenteerimine. "[Viimased] CVE-kirjed ei sisalda metaandmeid selle kohta, millist tarkvara see tegelikult mõjutab," kirjutas ta. "See on tohutu probleem ja probleemse tõelise avalduse puudumine [NIST-i poolt] on murettekitav." 

Lorenc pole selle mõttega üksi. "See on riikliku tähtsusega andmekogum," ütleb Josh Bressers Anchore'ist, kes samuti postitas olukorra kohta kommentaare selle kuu alguses. “Ootaks selgemat suhtlust, sest keegi ei tea midagi. See kõik on mõistatus."

NIST-i esindajad ei vastanud Dark Readingi kommentaaritaotlustele.

Enne veebruari külmutamist värskendas NIST regulaarselt iga CVE-d nende kasulike metaandmetega; mõnikord kulub nende uuenduste avastamise kuupäevast NVD kirjetes avaldamiseni nädalaid või kuid. "Kuid nagu tööstus on näinud, on NIST-i ootamine CVE-kirjete täiendamiseks kulukas. Kuna igal aastal antakse välja rohkem CVE-sid, on meil nüüd tarkvaramüüjatel rohkem võimalusi pakkuda täielikumaid CVE-kirjeid. Vastupidavad teadlased ütlesid. Tõlgituna tähendab see, et keegi teine ​​peab selle lõtvu üles võtma.

Morphisec, turvatööriistade müüja, avaldas blogipostituse, milles kirjeldas NVD olukorda selle kuu alguses. «Väiksemad organisatsioonid ajavad pidevalt plaastreid taga. Metaandmete puudumine NVD-s tähendab, et nad kaotavad vahetu kasu ja vähendavad nende üldist turvalisust, ”ütleb Morphiseci tehnoloogiadirektor Michael Gorelik. „See tähendab, et võimalik ärikatkestus on vältimatu, eriti praegusel lunavararikkal maastikul. See on suurem otsene probleem kui GenAI ohud.

Netrise tegevjuht Tom Pace ütleb, et külmutamine on probleem. "Me ei tea enam konkreetsete haavatavuste mõju," ütleb ta. "See ei ole hea asjade seis. Sellele andmekogumile tuginevad paljud inimesed üle maailma. See muudab lappimise keerulisemaks ja aeglasemaks. See tähendab, et halbadel näitlejatel on rohkem aega ettevõtete võrkudesse jõudmiseks.

Üks alternatiiv: MITER astub tühimiku täitmiseks üles

NIST võib olla NVD eest vastutav agentuur, kuid lõviosa selle taga olevast tegelikust töötootest pärineb tuntud kaitsetöövõtjalt MITRE, kuna see hoolitseb CVE kogumise eest. Pace ütleb: „See pole tehniline – miks MITER ei võta lõdvaks? NISTil on nagunii väiksem meeskond. Ta kutsub MITERit üles, et ta kukkus oma missioonil maha ja jättis turvameeskonnad teadmatusse. 

Dark Readingi taotlused MITERilt lisateabe saamiseks lükati tagasi: "MITRE ei saa praegu sellel teemal sõna võtta," ütles ettevõtte esindaja. Pace küsib: "Kuidas saab eratööstus selle ise välja mõelda?" 

Eratööstus on kindlasti töötanud NVD alternatiivide kallal. Sel eesmärgil kommenteeris üks turvakonsultant LinkedInis, et “NVD-d ei saa parandada ja me peame sellest loobuma ning parandama nii selle kui ka CVE-d koos. USA valitsus ei kavatse seda lahendada ja lahendusi peab juhtima erasektor. 

Aastakümnete jooksul on loodud palju muid andmekogusid. Mitmed turbemüüjad, nagu Tenable, Qualys ja Ivanti, on loonud oma haavatavuse kogud, mis sisaldavad rohkem metaandmete üksikasju ja muid üksusi, mis aitavad rünnakuid ära hoida. Ja on mitmeid avatud lähtekoodiga jõupingutusi, mis on kestnud aastaid, kuid on viimasel ajal tänu NVD külmutamisele saanud rohkem tähelepanu. 

Üks avatud lähtekoodiga pingutus pärineb VulnCheck, millel on oma NVD++ kollektsioon. Teine on Avage haavatavuse andmebaas (OVD) alates a mitmesuguseid müüjaid, sealhulgas Google, SonarSource, GitHub, Snyk ja teised. Mõlemad tekkisid NVD kasutajate pettumusest, kes soovisid haavatavuse andmete paremaid automatiseeritud päringuid. NIST NVD oli nendele päringutele kehtestanud kiiruspiirangud, mille nii NVD++ kui ka OVD on kõrvaldanud. NIST-i NVD-st kummalegi kogule üleminek pole lihtne ja nõuab programmeerimistööd ja testimisaega.

Teine jõupingutus pärineb Hiinast, kus mitmed valitsusasutused on ühinenud oma haavatavuse andmebaasi. See võib olla halb uudis ülejäänud maailmale, kuna sellel on avaldatavale piirangud, näiteks puudub NVD ja avatud süsteemide jaoks tüüpiline tõestus. Teadlased oletavad, et see võib kaasa tuua ka rohkem Hiina nullpäevarünnakuid, mis tegelikult need haavatavused relvastavad.

Teine lahendus: uus tööstuskonsortsium

NVD veebisaidil olev teave viitab konsortsiumile, kes võiks andmebaasi hallata, kuigi turvauurijad on skeptilised. Avaldus oli hõre konkreetsete asjaolude kohta, näiteks kes osalevad jõupingutustes. Pace ütleb: "Oleme turvaauke avalikustanud ja rikastanud sama protsessi järgi juba aastaid ja üsna tõhusalt. Miks on meil praegu vaja konsortsiumi? Bressers ütleb, et konsortsium on võimalik, kuid kurat on NVD kasulikuma järglase loomisel detailides. Ta mainib, et haavatavused kasvavad jätkuvalt hüppeliselt ja iga lahendus peab vastavalt laienema.

Lõpuks on NVD külmutamise teine ​​keerukus see, et see on vastuolus föderaalvalitsuse teiste osade aruandlusnõuetega. Föderaalse riski- ja autoriseerimishaldusprogrammi uusim versioon, Rev. 5 kohustab föderaaltöövõtjaid kasutama NVD-d autoriteetse ohtude allikana. "Tundub, et NIST üritab seda programmi kuidagi lõpetada või edasi anda, samal ajal kui teised valitsuse valdkonnad sunnivad seda vastu võtma," märkis Lorenc oma ajaveebipostituses. "Mis siin toimub?"

Järgmisel nädalal kogunevad haavatavuse uurijad VulnConi konverents Raleighis, NC, kus päevakorras on “NVD sümpoosion”. Võib-olla selgub siis rohkem üksikasju. 

spot_img

Uusim intelligentsus

spot_img

Autoriõigus @ 2024 Plato Technologies Inc.

Jututuba koos meiega

Tere! Kuidas ma teid aidata saan?