از آنجا که 2005، بانک اطلاعات ملی آسیب پذیری (NVD) جزئیاتی را درباره صدها آسیب پذیری و قرار گرفتن در معرض رایج روزانه (CVE) که توسط محققان امنیتی از سراسر جهان کشف شده است، ارسال کرده است. اما ماه گذشته، پایگاه داده حیاتی تحت حمایت دولت از یک ابزار ضروری به یک مقصد تقریبا تاریک تبدیل شد.
این زمانی بود که NVD در وب سایت خود اعلامیه ای بسیار مرموز را منتشر کرد که می گوید کاربران "به طور موقت در تلاش های تحلیل [ما] با تاخیر مواجه خواهند شد" زیرا موسسه ملی استانداردها و فناوری (NIST) ابزارها و روش های بهبود یافته را پیاده سازی می کند. توضیح بیشتری ارائه نشده است.
یخ زدگی کاملاً همه جانبه نیست: درصد کمی از CVE ها توسط NIST ثبت می شوند، اما به هیچ وجه با همان سرعتی که در سال های گذشته مشاهده می شد، نیستند. این امر مدیران امنیتی سازمانی را در تنگنا قرار می دهد تا در صدر تهدیدات جدید قرار بگیرند.
مدل CVE از 365 شریک تشکیل شده است که تهدیدات را جمع آوری می کنند، که تقریباً نیمی از آنها مستقر در ایالات متحده هستند و طیف گسترده ای از فروشندگان نرم افزار، اپراتورهای پاداش باگ و شرکت های تحقیقاتی خصوصی را پوشش می دهند. هر شرکت کننده تهدیدات جدیدی را طبق یک طرح دقیق ارسال می کند تا مطمئن شود موارد جدید منحصر به فرد هستند. از ابتدای سال، بیش از 6,000 CVE جدید ارسال شده است.
اما به دلایلی غیرقابل توضیح، تقریباً نیمی از این موارد جزئیاتی را در NVD حذف کردهاند، جزئیاتی که دادههای آسیبپذیری را برای مدیران امنیتی سازمانی و ابزارهای مدیریت آسیبپذیری متعددی که میتوانند به جلوگیری از آسیبهای احتمالی مهاجمان کمک کنند، مفید میسازد.
یکی از این ابزارها اسکنر آسیب پذیری Nessus Tenable است. محققان آن اشاره میکنند که NVD NIST زمینه اضافهای را برای هر آسیبپذیری خاص فراهم میکند، زمینهای که میتواند تعیین کند که آیا تهدید حیاتی است و نیاز به اصلاح فوری دارد یا میتواند بر جمعیت گستردهای از برنامهها و سیستمهای عامل تأثیر بگذارد.
دن لورنک، مدیر عامل Chainguard، ماه گذشته یک پست در لینکدین نوشت مستندسازی وضعیت او نوشت: «آخرین ورودیهای CVE حاوی هیچ ابردادهای درباره نرمافزاری که واقعاً تحت تأثیر قرار میگیرد، نیست». "این یک موضوع بزرگ است و فقدان هر گونه بیانیه واقعی در مورد مشکل [توسط NIST] نگران کننده است."
لورنک در این احساس تنها نیست. جاش برسرز از Anchore، که همچنین میگوید: «این یک مجموعه داده با اهمیت ملی است نظرات خود را در مورد وضعیت ارسال کرد اوایل این ماه "من انتظار داشتم ارتباطات واضح تری داشته باشم زیرا هیچ کس چیزی نمی داند. همه اینها یک راز است.»
نمایندگان NIST به درخواست های دارک ریدینگ برای اظهار نظر پاسخ ندادند.
قبل از توقف فوریه، NIST به طور منظم هر CVE را با این ابرداده مفید به روز می کرد. گاهی اوقات این بهروزرسانیها هفتهها یا ماهها از تاریخ کشف تا افشای آن در ورودیهای NVD طول میکشد. با این حال، همانطور که صنعت دیده است، انتظار در NIST برای تکمیل رکوردهای CVE هزینه دارد. با انتشار CVE های بیشتری هر ساله، اکنون فرصت های بیشتری برای فروشندگان نرم افزار داریم تا سوابق CVE کامل تری را ارائه کنند. محققان Tenable گفتند. ترجمه شده، این بدان معناست که شخص دیگری باید این سستی را انتخاب کند.
Morphisec، فروشنده ابزارهای امنیتی، یک پست وبلاگی را منتشر کرد که وضعیت NVD را توصیف می کرد اوایل این ماه «سازمانهای کوچکتر دائماً به دنبال وصلهها هستند. فقدان ابرداده با NVD به این معنی است که آنها مزایای فوری را از دست می دهند و امنیت کلی آنها را کاهش می دهد. این بدان معناست که اختلال بالقوه کسب و کار اجتناب ناپذیر است، به خصوص در چشم انداز غنی از باج افزار که امروز داریم. این یک مشکل فوری بزرگتر از تهدیدات ناشی از GenAI است."
تام پیس، مدیرعامل نتریز، میگوید که فریز کردن یک مشکل است. او میگوید: «ما دیگر از تأثیرات آسیبپذیریهای خاص اطلاعی نداریم. «این وضعیت خوبی نیست. این مجموعه داده توسط بسیاری از افراد در سراسر جهان متکی است. این کار وصله کردن را دشوارتر و کندتر می کند." این بدان معناست که بازیگران بد زمان بیشتری برای یافتن راه خود در شبکه های سازمانی دارند.
یک جایگزین: MITER برای پر کردن شکاف قدم برمی دارد
NIST ممکن است آژانس مسئول NVD باشد، اما سهم عمده محصول کاری واقعی که در پشت آن قرار دارد از طرف پیمانکار دفاعی معروف MITRE است، زیرا از مجموعه CVE مراقبت می کند. پیس میگوید: «تکنیکی نیست - چرا MITER این کار را انجام نمیدهد؟ به هر حال NIST خدمه کوچکتری دارد." او MITER را به دلیل سقوط در مأموریت خود و رها کردن تیم های امنیتی در تاریکی صدا می کند.
درخواست Dark Reading برای اطلاعات بیشتر از MITER رد شد: "MITRE در حال حاضر قادر به صحبت در مورد این موضوع نیست." پیس می پرسد: "صنعت خصوصی چگونه می تواند به تنهایی آن را بفهمد؟"
مطمئناً صنعت خصوصی روی جایگزین های NVD کار کرده است. برای این منظور، یکی از مشاوران امنیتی در لینکدین اظهار داشت که «NVD قابل تعمیر نیست و ما باید آن را رها کنیم و آن و CVE را با هم تعمیر کنیم. دولت ایالات متحده قرار نیست این را حل کند و راه حل ها باید توسط بخش خصوصی هدایت شوند.
مجموعههای دادههای متعدد دیگری نیز وجود دارند که در طول دههها ایجاد شدهاند. چندین فروشنده امنیتی، مانند Tenable، Qualys و Ivanti، مجموعههای آسیبپذیری خود را ایجاد کردهاند که حاوی جزئیات فراداده بیشتر و موارد دیگر برای کمک به جلوگیری از حملات است. و چندین تلاش منبع باز وجود دارد که سالها در جریان بودهاند، اما اخیراً به لطف فریز NVD توجه بیشتری را به خود جلب کردهاند.
یک تلاش منبع باز از VulnCheck که مجموعه NVD++ خود را دارد. دیگری است پایگاه داده آسیب پذیری را باز کنید (OVD) از a انواع فروشندگاناز جمله Google، SonarSource، GitHub، Snyk و دیگران. هر دوی این موارد از ناامیدی کاربران NVD که میخواستند پرسوجوهای خودکار بهتری از دادههای آسیبپذیری داشته باشند، به وجود آمدند. NIST NVD محدودیتهای نرخی را بر روی این پرسشها اعمال کرده بود که هم NVD++ و هم OVD آنها را حذف کردهاند. جابجایی به هر یک از مجموعه ها از NVD NIST ساده نیست و به تلاش برنامه نویسی و زمان آزمایش نیاز دارد.
تلاش دیگری از چین انجام میشود، جایی که چندین سازمان دولتی با هم متحد شدهاند پایگاه داده آسیب پذیری خودشان. این میتواند خبر بدی برای بقیه جهان باشد، زیرا محدودیتهایی در مورد آنچه منتشر خواهد شد خواهد داشت، مانند نداشتن هرگونه اثبات مفهومی که نمونهای از تلاشهای NVD و سیستمهای باز است. محققان حدس میزنند که این میتواند منجر به حملات روز صفر چینی بیشتر شود و در واقع این آسیبپذیریها را تسلیحاتی کند.
راه حل دیگر: کنسرسیوم صنعتی جدید
اطلاعات موجود در وبسایت NVD به کنسرسیومی اشاره میکند که میتواند پایگاه داده را اداره کند، اگرچه محققان امنیتی در این مورد تردید دارند. این بیانیه در مورد جزئیات، مانند اینکه چه کسی بخشی از تلاش خواهد بود، نازک بود. پیس میگوید: «ما آسیبپذیریها را برای سالها به دنبال فرآیند مشابه، و بسیار کارآمد، افشا و غنیسازی کردهایم. چرا اکنون به یک کنسرسیوم نیاز داریم؟» برسرز می گوید که یک کنسرسیوم امکان پذیر است، اما شیطان در هنگام ساختن جانشین مفیدتر NVD در جزئیات خواهد بود. او اشاره می کند که آسیب پذیری ها همچنان شاهد رشد تصاعدی هستند و هر راه حلی باید بر اساس آن مقیاس شود.
در نهایت، یکی دیگر از پیچیدگیهای فریز NVD این است که با الزامات گزارش دهی سایر بخشهای دولت فدرال مغایرت دارد. آخرین نسخه، Rev. 5، برنامه مدیریت ریسک و مجوز فدرال پیمانکاران فدرال باید از NVD به عنوان منبع معتبر تهدید استفاده کنند. لورنک در پست وبلاگ خود خاطرنشان کرد: «به نظر میرسد NIST به نوعی در تلاش است تا این برنامه را متوقف کند یا آن را کنار بگذارد در حالی که سایر بخشهای دولت مجبور به پذیرش آن هستند. "اینجا چه خبر است؟"
هفته آینده، محققان آسیبپذیری برای این موضوع گرد هم میآیند کنفرانس VulnCon در رالی، NC، جایی که "سمپوزیوم NVD" در دستور کار است. شاید در آن زمان جزئیات بیشتری ظاهر شود.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cybersecurity-operations/nist-vuln-database-downshifts-prompting-questions-about-its-future