از آنجا که 2005، بانک اطلاعات ملی آسیب پذیری (NVD) جزئیاتی را درباره صدها آسیب پذیری و قرار گرفتن در معرض رایج روزانه (CVE) که توسط محققان امنیتی از سراسر جهان کشف شده است، ارسال کرده است. اما ماه گذشته، پایگاه داده حیاتی تحت حمایت دولت از یک ابزار ضروری به یک مقصد تقریبا تاریک تبدیل شد.

این زمانی بود که NVD در وب سایت خود اعلامیه ای بسیار مرموز را منتشر کرد که می گوید کاربران "به طور موقت در تلاش های تحلیل [ما] با تاخیر مواجه خواهند شد" زیرا موسسه ملی استانداردها و فناوری (NIST) ابزارها و روش های بهبود یافته را پیاده سازی می کند. توضیح بیشتری ارائه نشده است. 

یخ زدگی کاملاً همه جانبه نیست: درصد کمی از CVE ها توسط NIST ثبت می شوند، اما به هیچ وجه با همان سرعتی که در سال های گذشته مشاهده می شد، نیستند. این امر مدیران امنیتی سازمانی را در تنگنا قرار می دهد تا در صدر تهدیدات جدید قرار بگیرند.

مدل CVE از 365 شریک تشکیل شده است که تهدیدات را جمع آوری می کنند، که تقریباً نیمی از آنها مستقر در ایالات متحده هستند و طیف گسترده ای از فروشندگان نرم افزار، اپراتورهای پاداش باگ و شرکت های تحقیقاتی خصوصی را پوشش می دهند. هر شرکت کننده تهدیدات جدیدی را طبق یک طرح دقیق ارسال می کند تا مطمئن شود موارد جدید منحصر به فرد هستند. از ابتدای سال، بیش از 6,000 CVE جدید ارسال شده است.

اما به دلایلی غیرقابل توضیح، تقریباً نیمی از این موارد جزئیاتی را در NVD حذف کرده‌اند، جزئیاتی که داده‌های آسیب‌پذیری را برای مدیران امنیتی سازمانی و ابزارهای مدیریت آسیب‌پذیری متعددی که می‌توانند به جلوگیری از آسیب‌های احتمالی مهاجمان کمک کنند، مفید می‌سازد.

یکی از این ابزارها اسکنر آسیب پذیری Nessus Tenable است. محققان آن اشاره می‌کنند که NVD NIST زمینه اضافه‌ای را برای هر آسیب‌پذیری خاص فراهم می‌کند، زمینه‌ای که می‌تواند تعیین کند که آیا تهدید حیاتی است و نیاز به اصلاح فوری دارد یا می‌تواند بر جمعیت گسترده‌ای از برنامه‌ها و سیستم‌های عامل تأثیر بگذارد. 

دن لورنک، مدیر عامل Chainguard، ماه گذشته یک پست در لینکدین نوشت مستندسازی وضعیت او نوشت: «آخرین ورودی‌های CVE حاوی هیچ ابرداده‌ای درباره نرم‌افزاری که واقعاً تحت تأثیر قرار می‌گیرد، نیست». "این یک موضوع بزرگ است و فقدان هر گونه بیانیه واقعی در مورد مشکل [توسط NIST] نگران کننده است." 

لورنک در این احساس تنها نیست. جاش برسرز از Anchore، که همچنین می‌گوید: «این یک مجموعه داده با اهمیت ملی است نظرات خود را در مورد وضعیت ارسال کرد اوایل این ماه "من انتظار داشتم ارتباطات واضح تری داشته باشم زیرا هیچ کس چیزی نمی داند. همه اینها یک راز است.»

نمایندگان NIST به درخواست های دارک ریدینگ برای اظهار نظر پاسخ ندادند.

قبل از توقف فوریه، NIST به طور منظم هر CVE را با این ابرداده مفید به روز می کرد. گاهی اوقات این به‌روزرسانی‌ها هفته‌ها یا ماه‌ها از تاریخ کشف تا افشای آن در ورودی‌های NVD طول می‌کشد. با این حال، همانطور که صنعت دیده است، انتظار در NIST برای تکمیل رکوردهای CVE هزینه دارد. با انتشار CVE های بیشتری هر ساله، اکنون فرصت های بیشتری برای فروشندگان نرم افزار داریم تا سوابق CVE کامل تری را ارائه کنند. محققان Tenable گفتند. ترجمه شده، این بدان معناست که شخص دیگری باید این سستی را انتخاب کند.

Morphisec، فروشنده ابزارهای امنیتی، یک پست وبلاگی را منتشر کرد که وضعیت NVD را توصیف می کرد اوایل این ماه «سازمان‌های کوچک‌تر دائماً به دنبال وصله‌ها هستند. فقدان ابرداده با NVD به این معنی است که آنها مزایای فوری را از دست می دهند و امنیت کلی آنها را کاهش می دهد. این بدان معناست که اختلال بالقوه کسب و کار اجتناب ناپذیر است، به خصوص در چشم انداز غنی از باج افزار که امروز داریم. این یک مشکل فوری بزرگتر از تهدیدات ناشی از GenAI است."

تام پیس، مدیرعامل نتریز، می‌گوید که فریز کردن یک مشکل است. او می‌گوید: «ما دیگر از تأثیرات آسیب‌پذیری‌های خاص اطلاعی نداریم. «این وضعیت خوبی نیست. این مجموعه داده توسط بسیاری از افراد در سراسر جهان متکی است. این کار وصله کردن را دشوارتر و کندتر می کند." این بدان معناست که بازیگران بد زمان بیشتری برای یافتن راه خود در شبکه های سازمانی دارند.

یک جایگزین: MITER برای پر کردن شکاف قدم برمی دارد

NIST ممکن است آژانس مسئول NVD باشد، اما سهم عمده محصول کاری واقعی که در پشت آن قرار دارد از طرف پیمانکار دفاعی معروف MITRE است، زیرا از مجموعه CVE مراقبت می کند. پیس می‌گوید: «تکنیکی نیست - چرا MITER این کار را انجام نمی‌دهد؟ به هر حال NIST خدمه کوچکتری دارد." او MITER را به دلیل سقوط در مأموریت خود و رها کردن تیم های امنیتی در تاریکی صدا می کند. 

درخواست Dark Reading برای اطلاعات بیشتر از MITER رد شد: "MITRE در حال حاضر قادر به صحبت در مورد این موضوع نیست." پیس می پرسد: "صنعت خصوصی چگونه می تواند به تنهایی آن را بفهمد؟" 

مطمئناً صنعت خصوصی روی جایگزین های NVD کار کرده است. برای این منظور، یکی از مشاوران امنیتی در لینکدین اظهار داشت که «NVD قابل تعمیر نیست و ما باید آن را رها کنیم و آن و CVE را با هم تعمیر کنیم. دولت ایالات متحده قرار نیست این را حل کند و راه حل ها باید توسط بخش خصوصی هدایت شوند. 

مجموعه‌های داده‌های متعدد دیگری نیز وجود دارند که در طول دهه‌ها ایجاد شده‌اند. چندین فروشنده امنیتی، مانند Tenable، Qualys و Ivanti، مجموعه‌های آسیب‌پذیری خود را ایجاد کرده‌اند که حاوی جزئیات فراداده بیشتر و موارد دیگر برای کمک به جلوگیری از حملات است. و چندین تلاش منبع باز وجود دارد که سال‌ها در جریان بوده‌اند، اما اخیراً به لطف فریز NVD توجه بیشتری را به خود جلب کرده‌اند. 

یک تلاش منبع باز از VulnCheck که مجموعه NVD++ خود را دارد. دیگری است پایگاه داده آسیب پذیری را باز کنید (OVD) از a انواع فروشندگاناز جمله Google، SonarSource، GitHub، Snyk و دیگران. هر دوی این موارد از ناامیدی کاربران NVD که می‌خواستند پرس‌وجوهای خودکار بهتری از داده‌های آسیب‌پذیری داشته باشند، به وجود آمدند. NIST NVD محدودیت‌های نرخی را بر روی این پرسش‌ها اعمال کرده بود که هم NVD++ و هم OVD آن‌ها را حذف کرده‌اند. جابجایی به هر یک از مجموعه ها از NVD NIST ساده نیست و به تلاش برنامه نویسی و زمان آزمایش نیاز دارد.

تلاش دیگری از چین انجام می‌شود، جایی که چندین سازمان دولتی با هم متحد شده‌اند پایگاه داده آسیب پذیری خودشان. این می‌تواند خبر بدی برای بقیه جهان باشد، زیرا محدودیت‌هایی در مورد آنچه منتشر خواهد شد خواهد داشت، مانند نداشتن هرگونه اثبات مفهومی که نمونه‌ای از تلاش‌های NVD و سیستم‌های باز است. محققان حدس می‌زنند که این می‌تواند منجر به حملات روز صفر چینی بیشتر شود و در واقع این آسیب‌پذیری‌ها را تسلیحاتی کند.

راه حل دیگر: کنسرسیوم صنعتی جدید

اطلاعات موجود در وب‌سایت NVD به کنسرسیومی اشاره می‌کند که می‌تواند پایگاه داده را اداره کند، اگرچه محققان امنیتی در این مورد تردید دارند. این بیانیه در مورد جزئیات، مانند اینکه چه کسی بخشی از تلاش خواهد بود، نازک بود. پیس می‌گوید: «ما آسیب‌پذیری‌ها را برای سال‌ها به دنبال فرآیند مشابه، و بسیار کارآمد، افشا و غنی‌سازی کرده‌ایم. چرا اکنون به یک کنسرسیوم نیاز داریم؟» برسرز می گوید که یک کنسرسیوم امکان پذیر است، اما شیطان در هنگام ساختن جانشین مفیدتر NVD در جزئیات خواهد بود. او اشاره می کند که آسیب پذیری ها همچنان شاهد رشد تصاعدی هستند و هر راه حلی باید بر اساس آن مقیاس شود.

در نهایت، یکی دیگر از پیچیدگی‌های فریز NVD این است که با الزامات گزارش دهی سایر بخش‌های دولت فدرال مغایرت دارد. آخرین نسخه، Rev. 5، برنامه مدیریت ریسک و مجوز فدرال پیمانکاران فدرال باید از NVD به عنوان منبع معتبر تهدید استفاده کنند. لورنک در پست وبلاگ خود خاطرنشان کرد: «به نظر می‌رسد NIST به نوعی در تلاش است تا این برنامه را متوقف کند یا آن را کنار بگذارد در حالی که سایر بخش‌های دولت مجبور به پذیرش آن هستند. "اینجا چه خبر است؟"

هفته آینده، محققان آسیب‌پذیری برای این موضوع گرد هم می‌آیند کنفرانس VulnCon در رالی، NC، جایی که "سمپوزیوم NVD" در دستور کار است. شاید در آن زمان جزئیات بیشتری ظاهر شود. 

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cybersecurity-operations/nist-vuln-database-downshifts-prompting-questions-about-its-future