O banco de dados de falhas de segurança do NIST ainda está repleto de mais de 17 mil bugs não processados. Não é ótimo
O NIST fez algum progresso na eliminação de seu acúmulo de relatórios de vulnerabilidade de segurança para processar – embora não esteja exatamente no alvo, como esperado.
O organismo de normalização do governo dos EUA acabou de ultrapassar o prazo auto-imposto de 30 de Setembro para elevar a velocidade com que a sua Base de Dados Nacional de Vulnerabilidade (NVD) processa novas falhas até à taxa anterior a Fevereiro, após um declínio na produção este ano.
Patrick Garrity, do grupo de inteligência de segurança da informação VulnCheck, debruçou-se sobre os bugs rotulados como CVE analisados com sucesso pelo NVD entre 12 de fevereiro e 21 de setembro e relatou resultados “mistos”.
NIST não respondeu a O Registrosobre seu crescente acúmulo de vulnerabilidades nem o estudo do VulnCheck, e atualizaremos esta história se recebermos notícias da agência dos EUA.
De acordo com Garrity: Em 21 de setembro, o NVD ainda tinha 18.358 CVEs (72,4% das novas vulnerabilidades relatadas) que precisavam ser analisadas. No momento da publicação, o número caiu ligeiramente para 17.873. O NIST atualiza esses números diariamente e estão todos disponíveis através do Painel NVD.
Isto representa uma grande melhoria em relação aos números de maio, após a contratação de uma consultoria externa pelo NIST para ajudar a colocar o processamento de bugs de volta nos trilhos.
“Mas permanece um atraso significativo”, disse Garrity em seu análise publicado na segunda-feira, dia do prazo anteriormente declarado do NIST.
Jason Soroko, pesquisador sênior da Sectigo, disse O Registro“o atraso acrescenta risco a um cenário de segurança cibernética já desafiador”.
O que precisa ser feito?
Aqui está uma breve atualização para quem precisa. O NVD é um repositório central público gerenciado pelo NIST para falhas de segurança que receberam um número de identificação CVE para rastreá-las. As pessoas que administram o banco de dados executar o que eles chamam de “enriquecimento” de cada CVE, que é uma maneira elegante de dizer que agregam todas as informações públicas que podem encontrar sobre cada vulnerabilidade – pense em divulgações de fornecedores e pesquisadores, patches, explorações de prova de conceito e assim por diante – e depois organizar tudo nesse banco de dados para que as pessoas pesquisem e monitorem.
Fundamentalmente, a partir dessas informações, a equipe do NVD calcula a gravidade de cada bug, atribui a ele um tipo de vulnerabilidade, descobre os produtos exatos afetados e, em seguida, faz o controle de qualidade desses detalhes. Depois que uma entrada é aprovada, ela é adicionada ao banco de dados e tornada pública. O processo é definido aqui. Ele transforma IDs CVE brutos em registros amigáveis.
“Quando um CVE estiver no NVD, os membros da equipe de enriquecimento poderão iniciar o processo de enriquecimento”, explica o pessoal do NVD em sua documentação. “O tempo de processamento pode variar dependendo do CVE, das informações disponíveis e da quantidade de CVEs publicados em um determinado prazo.”
É esse processo de enriquecimento que está atrasado; há CVEs se acumulando que precisam ser analisados, organizados e publicados no banco de dados público para que usuários e fornecedores possam facilmente ficar por dentro do que exatamente foi divulgado e quando, o que foi corrigido, o que foi afetado, quão grave é algo , e assim por diante, tudo em um só lugar.
É importante ter uma entidade independente para gerenciar isso, caso um fornecedor (por exemplo) tente fazer passar uma falha crítica como sendo menor, ou se houver relatórios conflitantes sobre um bug. As pessoas viam o NVD como uma fonte confiável de falhas de segurança que precisavam controlar, seja para mitigar ou corrigir.
Em fevereiro, NIST reduzido o programa NVD, que levou a um acúmulo de CVEs esperando para serem analisados – e à crescente frustração na indústria de segurança da informação. Em 20 de maio, cerca de 93,4 por cento de novas vulnerabilidades desde fevereiro permaneceram sem análise, de acordo com Garrity.
Então, no final de maio, o NIST alterado seu contrato de TI de cinco anos no valor de US$ 125 milhões com a Analygence, sediada em Maryland, para incluir suporte para a eliminação do backlog de NVD.
Também na época, o NIST disse que esperava voltar às taxas de processamento de CVE anteriores a fevereiro até o final do ano fiscal do governo de 2024 – os 12 meses até 30 de setembro. enriquecer não está crescendo tão rápido como há quatro meses, ainda não foi nivelado.
Organizações ‘perdendo visibilidade’ sobre novas vulnerabilidades
Isso é importante porque as organizações que dependem do NVD estão “perdendo visibilidade dos ativos”, principalmente aquelas com “vulnerabilidades mais recentes que foram publicadas durante este período”, disse Garrity. O Registro. “Isso significa que há uma grande probabilidade de que as organizações não tenham visibilidade dos ativos que estão sendo explorados”.
Uma ferramenta que deve ajudar nisso, no entanto, como Garrity observou em sua pesquisa, é o CISA Projeto de vulnerabilidadeque agora fornece pontuações de gravidade CVSS independentes e outros pontos de dados para bugs marcados com CVE para aqueles que precisam.
Ainda assim, embora o Vulnrichment tenha “sido um bom paliativo até que o NVD coloque suas operações em ordem”, o impasse do CVE “está prejudicando os processos de segurança em todo o mundo”, disse Mayuresh Dani, gerente de pesquisa de segurança da Qualys. O Registro.
Muitas organizações dependem de dados fornecidos pelo NVD para priorização de riscos ou usam ferramentas personalizadas para revelar vulnerabilidades baseadas em conjuntos de dados do NVD, acrescentou.
“Como as informações do NVD não estão disponíveis para eles, o que era confiável no passado, eles precisam gastar ciclos adicionais para compilar e obter essas informações apenas para que seus processos continuem”, disse Dani. “Isso também está prejudicando os projetos comunitários de código aberto que dependem de dados NVD para suas operações”.
Além disso, como Dustin Childs, chefe de conscientização sobre ameaças da Trend Micro Zero Day Initiative, apontou: Não sabemos o que resta na lista de pendências.
“É um desconhecido conhecido”, disse Childs O Registro. “Sabemos que há um impacto, mas não está claro quão ruim é o impacto, uma vez que não sabemos quais são os CVEs nesse acúmulo”.
Algumas ferramentas de segurança, avisos produzidos por fornecedores e feeds de informações sobre ameaças fornecem visibilidade adicional.
Mas não há redundância suficiente com outras fontes para compensar a desaceleração do NVD, porque “não há realmente nenhum lucro em tal empreendimento”, acrescentou Childs. “Esta é uma área que os defensores da rede recorrem aos governos para fornecer informações, uma vez que ninguém mais fornece este tipo de informação”. ®