Wat kan gedoen word aan die nasionale kwesbaarheidsdatabasiskrisis?
INHOUDSOPGAWE:
Die Nasionale Instituut vir Standaarde en Tegnologie (NIST) is in 'n verknorsing, en een wat ernstige implikasies vir kuberveiligheidspanne wêreldwyd inhou. Die National Vulnerability Database (NVD), die wegbewaarplek vir algemene kwesbaarhede en blootstellings (CVE's), buk onder die gewig van 'n ongekende agterstand. Vanaf April is slegs 4,000 11,000 uit byna 7,000 XNUMX CVE's verwerk, wat 'n verbysterende XNUMX XNUMX kwesbaarhede in limbo gelaat het. Hierdie agterstand is nie net 'n geringe haak nie - dit is 'n skreiende sekuriteitsrisiko.
In die lig van hierdie groeiende krisis, hoe kan sekuriteitspanne verseker dat hulle voor potensiële bedreigings bly?
Huidige versagtingspogings deur NIST
Neatsun Ziv, uitvoerende hoof van Ox Security, stel dit reguit.
"Die agterstand van onverwerkte CVE's by die NVD hou aansienlike risiko's vir organisasies in, wat potensiële blindekolle skep en reaksies op nuwe bedreigings vertraag," sê hy aan ISMS.online. "Hierdie agterstand bevoordeel kwaadwillige akteurs, wat die voorsieningskettingrisiko's oor kritieke sektore verhoog."
Roger Grimes, data-gedrewe verdediging-evangelis by KnowBe4, onderstreep die omvang van die uitdaging.
“Verlede jaar was daar meer as 33,000 90 kwesbaarhede, volgens die NVD. Dit werk elke dag uit op meer as XNUMX nuwe sagteware- en firmware-kwesbaarhede. Om hierdie bedreigings te dokumenteer, te verifieer en te rangskik is 'n geweldige taak,” sê hy aan ISMS.online.
Grimes voeg by dat "33% van alle suksesvolle data-oortredings slegs moontlik is as gevolg van ongelapte sagteware en firmware-kwesbaarhede."
NIST het verskeie maatreëls ingestel wat daarop gemik is om die probleem te versag en die langtermyn-funksionaliteit van die NVD te verbeter. Een noemenswaardige poging is die vorming van 'n NVD-konsortium, wat daarop gemik is om die industrie, die regering en ander belanghebbendes bymekaar te bring om die databasis saam te bestuur en te verbeter. Daar word van hierdie konsortium verwag om te help om die werklading meer effektief te versprei en breër kundigheid in die kwesbaarheidsontledingsproses te integreer.
Ox Security se Ziv spreek optimisme uit oor hierdie pogings.
"NIST se inisiatief om 'n nuwe konsortium te vorm hou aansienlike potensiaal vir langtermynverbetering in," voer hy aan. "As dit effektief geïmplementeer word, sal hierdie programme waarskynlik lei tot vinniger verwerkingstye, verbeterde datakwaliteit en meer tydige opdaterings, wat die kuberveiligheidsgemeenskap grootliks sal bevoordeel."
Daarbenewens het die Cybersecurity and Infrastructure Security Agency (CISA) 'n "vulnrichment"-program bekendgestel wat ontwerp is om CVE-data te verryk met meer gedetailleerde en uitvoerbare inligting. Dit poog om die kwaliteit en bruikbaarheid van kwesbaarheidsdata te verbeter, wat dit voordeliger maak vir sekuriteitspanne. Alhoewel hierdie inisiatiewe belowend is, bied dit nie onmiddellike verligting aan organisasies wat tans met die agterstand sukkel nie.
Ten spyte van hierdie pogings bly die agterstand se onmiddellike impak 'n kritieke bekommernis. Sekuriteitspanne moet hierdie uitdaging navigeer deur alternatiewe maniere te vind om ingelig te bly oor nuwe kwesbaarhede, en om te verseker dat hul pleisterbestuursprosesse doeltreffend bly.
Die uitdaging vir sekuriteitspanne
Die agterstand in die NVD stel aansienlike uitdagings vir sekuriteitspanne, wat staatmaak op tydige en akkurate CVE-data om hul stelsels te beskerm. Sonder die mees onlangse inligting van die NVD, kan organisasies onbewus wees van nuut ontdekte kwesbaarhede, wat hulle aan potensiële aanvalle blootgestel laat. Die situasie is veral problematies vir kleiner organisasies wat nie die hulpbronne het om kwesbaarhede onafhanklik oor verskeie bronne op te spoor nie.
“Aangesien nasiestaat-akteurs en lospryswarebendes hierdie vertragings uitbuit, is dit van kardinale belang om die erns van die situasie en die aanhoudende bedreigingslandskap te verstaan,” waarsku Ziv.
Sekuriteitspanne staan nou voor die uitdagende taak om met die hand inligting oor kwesbaarheid by individuele verskaffers te soek. Hierdie benadering is arbeidsintensief en vatbaar vir foute, aangesien dit konstante monitering van verskeie bronne vereis. Boonop kan die gebrek aan gestandaardiseerde ernstellings lei tot inkonsekwente assessering van risiko, wat die besluitnemingsproses bemoeilik oor watter kwesbaarhede om te prioritiseer vir pleistering.
Kenners in die veld het die kritieke behoefte aan 'n gesentraliseerde, betroubare bron van kwesbaarheidsinligting beklemtoon. Jerry Gamblin, 'n vernaamste bedreigingsopsporing- en reaksie-ingenieur vir Cisco Vulnerability Management, beklemtoon dat hoewel alternatiewe bronne soos die CISA Known Exploited Vulnerabilities (KEV)-katalogus bestaan, hulle nie omvattend is nie en hoofsaaklik fokus op kwesbaarhede wat reeds aktief uitgebuit word.
Versagtingstrategieë vir sekuriteitspanne
Om die impak van die NVD-agterstand te versag, kan sekuriteitspanne verskeie strategieë aanneem:
Alternatiewe databasisse: Gebruik ander betroubare bronne van CVE-inligting. Die CISA se KEV-katalogus, alhoewel nie omvattend nie, kan kritiese insigte verskaf oor aktief ontginde kwesbaarhede.
Outomatiese gereedskap: Implementeer outomatiese kwesbaarheidsbestuurnutsmiddels wat vir kwesbaarhede kan soek en intydse opdaterings kan verskaf. Hierdie instrumente kan help om die gaping wat deur die NVD gelaat word te oorbrug deur deurlopende monitering en waarskuwingsvermoëns aan te bied. Ziv beveel outomatiese nutsmiddels soos kwesbaarheidsbestuur en Application Security Posture Management (ASPM) aan.
Bedreiging intelligensiedienste: Teken in op bedreigingsintelligensiedienste wat tydige en saamgestelde kwesbaarheidsinligting verskaf. Hierdie dienste bied dikwels meer kontekstuele data, wat sekuriteitspanne help om die relevansie en potensiële impak van spesifieke kwesbaarhede op hul stelsels te verstaan.
Gemeenskapsamewerking: Raak betrokke by kuberveiligheidsgemeenskappe en -forums waar professionele persone insigte en opdaterings oor die jongste kwesbaarhede deel. Samewerkende platforms kan 'n waardevolle hulpbron wees om ingelig te bly en beste praktyke uit te ruil.
Pas aan by CVE-oorlading
Terwyl NIST se inisiatiewe, soos die vorming van 'n konsortium en die bekendstelling van die kwesbaarheidsprogram, toekomstige verbeterings beloof, bied dit min onmiddellike verligting.
Sekuriteitspanne moet dus proaktiewe stappe neem om die impak van hierdie agterstand te versag. Deur alternatiewe databasisse soos CISA se KEV te gebruik, outomatiese kwesbaarheidsbestuurnutsmiddels aan te neem, in te teken op intydse bedreigingsintelligensiedienste en om met kuberveiligheidsgemeenskappe te skakel, kan hulle die gaping vul wat deur die NVD gelaat word. Hierdie strategieë help nie net om 'n effektiewe pleisterbestuursprogram te handhaaf nie, maar verseker ook 'n gelaagde en veerkragtige sekuriteitsposisie.
Die NVD-agterstand is 'n skerp herinnering aan die belangrikheid van buigsaamheid in kuberveiligheidspraktyke. In die aangesig van teëspoed bly die kuberveiligheidsgemeenskap se kollektiewe kundigheid en vindingrykheid sy grootste bates. Deur saam te werk en kennis te deel, kan dit die uitdagings oorkom wat deur die NVD-agterstand geskep word en begin om 'n veiliger digitale wêreld te bou.
