Новости Новый партнер NIST: ускорение обработки уязвимостей в NVD

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Как NIST планирует вернуть прежние темпы работы с ошибками.


73mjrogbippe58ebvlwm4i0jqar2npw5.jpg


Национальный институт стандартов и технологий ( NIST ) объявил о заключении нового контракта с внешним подрядчиком, который поможет федеральному правительству в обработке программных и аппаратных уязвимостей из базы NVD .

В последние месяцы официальные лица правительства, эксперты по кибербезопасности и ИБ-специалисты неоднократно выражали обеспокоенность по поводу накопившегося объема новых уязвимостей, которые не были проанализированы или дополнены с февраля, когда агентство объявило о сокращениях. Дополнение включает добавление контекстных данных к описанию уязвимости.

Представитель NIST сообщил, что новый контракт предусматривает предоставление «дополнительной поддержки в обработке поступающих CVE», которые будут добавлены в NVD. В NIST Для просмотра ссылки Войди или Зарегистрируйся что дополнительная поддержка позволит в течение ближайших нескольких месяцев вернуться к темпам обработки, которые институт поддерживал до февраля 2024 года. Агентство работает с CISA над добавлением необработанных CVE в базу данных.

NIST рассчитывает, что накопившийся объем будет устранен к концу финансового года, который завершится 30 сентября. Однако представитель NIST не стал отвечать на вопросы о том, какая компания была нанята для помощи в обработке уязвимостей и насколько дешевле для правительства поручать такие задачи сторонним организациям.

В NIST работают над решением проблемы «увеличивающегося объема уязвимостей с помощью обновлений технологий и процессов». Цель агентства — создать программу, которая будет устойчивой в долгосрочной перспективе и поддерживать автоматизацию управления уязвимостями, измерения безопасности и соответствия требованиям.

NIST заверил, что «полностью привержен поддержке и модернизации ресурса, который жизненно важен для построения и поддержания доверия к информационным технологиям и стимулирования инноваций». Агентство планирует предоставлять дальнейшие обновления по мере попыток возвращения к нормальному уровню операционной деятельности.

С момента создания в 2005 году NVD стала незаменимым ресурсом для экспертов и ИБ-специалистов. В апреле NIST Для просмотра ссылки Войди или Зарегистрируйся увеличением объема программного обеспечения и изменениями в поддержке межведомственных программ. На сайте агентства было размещено уведомление о том, что оно «работает над созданием консорциума для решения проблем в программе NVD и разработки улучшенных инструментов и методов».

NIST недавно пришлось Для просмотра ссылки Войди или Зарегистрируйся на текущий финансовый год на 12% по сравнению с предыдущим годом. Ранее в NVD Для просмотра ссылки Войди или Зарегистрируйся что штат сотрудников NVD остался неизменным — 21 человек, в то время как количество поступающих уязвимостей продолжает расти.

Исследователи из VulnCheck Для просмотра ссылки Войди или Зарегистрируйся активность NVD с момента объявления сокращений 12 февраля и обнаружили, что из 12 720 новых уязвимостей 11 885 не были проанализированы или дополнены важными данными, которые помогают ИБ-специалистам определить, какое ПО было затронуто уязвимостью.


8thyfqym7j0p1cox3c43logulgs0pc3v.png


Анализ VulnCheck

8 мая агентство CISA Для просмотра ссылки Войди или Зарегистрируйся Vulnrichment для добавления метаданных к уязвимостям. MITRE, управляющая программой CVE, также утвердила новые правила для организаций, присваивающих CVE. Десятки экспертов по кибербезопасности ранее подписали письмо, адресованное Конгрессу и министру торговли США Джине Раймондо, призывая их финансировать и защищать NVD, называя её «критически важной инфраструктурой для множества продуктов кибербезопасности».
 
Источник новости
www.securitylab.ru

Похожие темы