NIST vs хакеры: NVD покоряет гору из 18 000 уязвимостей

Национальный институт стандартов и технологий ( NIST ) объявил о том, что смог обработать весь накопившийся объём необработанных уязвимостей, но при этом признал, что полностью устранить задержку до конца года не удастся.

В начале года выяснилось, что из-за сокращения ресурсов NIST, тысячи критических уязвимостей не анализировались и не обогащались дополнительными данными. Обогащение — это процесс добавления детальной информации об уязвимости в базу NVD .

С помощью CISA и нескольких частных компаний, NIST теперь имеет полную команду аналитиков и начал оперативно обрабатывать все новые записи о уязвимостях сразу после их поступления. Кроме того, все уязвимости из каталога KEV, которые оставались в очереди, были проанализированы. Сейчас все новые уязвимости также обрабатываются своевременно.

В сентябре специалисты из VulnCheck сообщили, что на 21 сентября в базе данных всё ещё оставалось необработанными более 18 000 уязвимостей — это около 72,4% всех записей CVE. При этом почти половина из этих уязвимостей уже использовалась хакерами, но всё ещё не была детально проанализирована.

NIST отметил, что ранее рассчитывал справиться с обработкой всех уязвимостей до конца года, но этот план оказался слишком оптимистичным. Проблема в том, что данные от уполномоченных поставщиков (Authorized Data Providers, ADP), таких как CISA, приходят в форматах, которые требуют дополнительной обработки. Сейчас разрабатываются новые системы, которые помогут быстрее обрабатывать такие данные.

CISA стала первым официальным поставщиком данных для NIST в этом году, что позволило агентству вносить данные о новых уязвимостях напрямую в систему. На данный момент NIST не уточнил, есть ли другие поставщики, кроме CISA.

Между тем, NVD с 18 ноября 2024 года вводит обновления системы, которые позволят собирать более детализированные данные от сертифицированных источников (CNA и ADP). Теперь записи о CVE будут включать больше информации, таких как ссылки, CWE и оценки CVSS, что будет отображаться на сайте и через API. Это приведет к более частым обновлениям записей, поэтому компаниям следует быть готовыми к увеличению объёмов данных.

Кроме того, NVD улучшит обработку дубликатов ссылок: теги будут автоматически применяться ко всем дублирующимся ссылкам. Обновится и порядок отображения событий в истории изменений CVE. Также будут исключены устаревшие параметры API, такие как HasCertAlerts и HasOval, что упростит поиск уязвимостей. Поддержка новой версии CVSS v4.0 позволит более точно оценивать риски на основе обновленных критериев.

Ранее в апреле эксперты по кибербезопасности отправили письмо в Конгресс и министру торговли США Джине Раймондо с просьбой выделить дополнительное финансирование на поддержку NVD. В письме Конгрессу подчеркивается, что неудача в восстановлении работоспособности NVD угрожает безопасности всех, указывая на недавние инциденты, такие как кибератака на Change Healthcare, которая на несколько недель парализовала работу отрасли здравоохранения.

8 мая агентство CISA объявило о запуске программы Vulnrichment для добавления метаданных к уязвимостям. MITRE, управляющая программой CVE, также утвердила новые правила для организаций, присваивающих CVE. Десятки экспертов по кибербезопасности ранее подписали письмо, адресованное Конгрессу и министру торговли США Джине Раймондо, призывая их финансировать и защищать NVD, называя её «критически важной инфраструктурой для множества продуктов кибербезопасности».