Новости Хакеры ликуют: NVD захлебнулся в бэклоге из уязвимостей

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
3 месяца без обновлений — отличная возможность для киберпреступников.


6k2ijbtlb0doc2e1d22vof1saj1f0teb.jpg


В крупнейшей в мире базе уязвимостей NVD , управляемой Национальным институтом стандартов и технологий США ( NIST ), недавно Для просмотра ссылки Войди или Зарегистрируйся который привёл к значительному увеличению числа неопубликованных уязвимостей.

С середины февраля 2024 года в работе базы начали возникать проблемы с обработкой новых данных, а начиная с 9 мая сервис и вовсе перестал показывать новые уязвимости, что вызвало обеспокоенность среди исследователей кибербезопасности.

Все причастные специалисты из государственного и частного секторов делают всё возможное, чтобы внести в базу обширный бэклог , скопившийся за три месяца, и заполнить пробелы там, где это возможно.

С 12 февраля этого года NIST смог проанализировать и добавить в свою базу лишь 4524 из 14 286 уязвимостей. Всё это негативно влияет на осведомлённость команд безопасности и создаёт новые возможности для злоумышленников.

На недавней конференции RSA Эммануэль Чавойя, генеральный директор RiskHorizon.ai, заявил, что необработанные уязвимости уже активно эксплуатируются. Многие компании зависят от NVD для обновления и исправления программного обеспечения, поэтому остановка публикаций стала серьёзной проблемой.

Сотрудники из различных компаний и государственных учреждений подтвердили, что с 9 мая новые уязвимости не добавляются в базу через API. Представитель NIST объяснил, что проблемы были вызваны переходом на новый формат данных CVE — JSON. Обработка уязвимостей не прекращалась, но публичные публикации были приостановлены для обновления системы, которое завершилось лишь 14 мая.

В марте Таня Брюэр, менеджер программы NVD, объявила о создании консорциума для решения возникших проблем, но конкретные детали пока остаются неизвестными. В это время частные компании, такие как RiskHorizon.ai, запустили собственную платформу под названием «NVD Backlog Tracker» для отслеживания необработанных уязвимостей.

Компания RiskHorizon.ai заявила, что покрывает 85% необработанных уязвимостей, предоставляя данные об их критичности и активности эксплуатации, однако доступ к платформе является платным.

Другие компании, такие как Trend Micro и VulnCheck, также активно публикуют новые уязвимости, предлагая альтернативу NVD.

8 мая Агентство по кибербезопасности и инфраструктурной безопасности США ( CISA ) Для просмотра ссылки Войди или Зарегистрируйся о запуске программы Vulnrichment для добавления метаданных к уязвимостям. MITRE, управляющая программой CVE, также Для просмотра ссылки Войди или Зарегистрируйся для организаций, присваивающих CVE.

Хотя текущие меры помогают сократить отставание в анализе уязвимостей, генеральный директор RiskHorizon.ai считает, что необходимы долгосрочные решения. Он предлагает автоматизировать процесс раскрытия уязвимостей, что, по его мнению, позволит эффективнее справляться с возникшей проблемой.
 
Источник новости
www.securitylab.ru

Похожие темы