前情回顾·美国漏洞治理动态
安全内参6月13日消息,最新研究显示,自今年2月美国政府宣布削减国家漏洞数据库(NVD,由NIST运营,以下简称NVD漏洞库)预算以来,超过90%提交至该数据库的漏洞尚未完成分析或补充信息(即在创建漏洞编号后添加完善各类元信息)。
因资金短缺和漏洞激增,NVD漏洞库不得不缩减运营规模。作为网络安全防御方的重要信息来源,该数据库运转放缓后,通用漏洞披露(CVE)信息完善流程受到了严重影响。
网络安全公司VulnCheck的研究人员分析发现,NVD漏洞库自2月12日预算削减以来,期间新增了12720个漏洞,其中高达11885个“尚未完成分析或或补充关键数据,而这些数据能帮助安全专业人士确定哪些软件受到漏洞影响。”
大量漏洞基础信息缺失
VulnCheck表示,NVD漏洞库运行放缓以来,已被利用漏洞列表中有近一半漏洞尚未得到分析。该公司还称,82%的存在公开概念样本(POC)的已被利用漏洞也未经检查。
图:NVD漏洞库每周发布CVE的处理状况(2024年2月12日至5月19日)
VulnCheck的Patrick Garrity表示:“众多知名和有影响力的业内人士已经警告,这种情况将为恶意威胁者提供可乘之机,将漏洞武器化,从而大幅增加多个关键领域的供应链风险。”
“近期,NVD漏洞库运行速度放缓,我们必须认清这一状况的严重性。国家级威胁分子和勒索软件集团一直在持续攻击各大组织,造成破坏性后果,而我们却自乱阵脚。”
Garrity补充说,20多年来,NVD漏洞库一直向网络安全专家提供了关键信息,包括严重性分数、参考标签、漏洞分类,以及其他影响流行软件的简明漏洞数据。
他表示,没有这些数据,“NVD漏洞库的前景就将一片黯淡”。
数据消费方该如何应对?
未来,网络安全公司将不得不填补NVD漏洞库留下的空白。Garrity建议,为了帮助下游消费者,有权创建CVE编号(即漏洞标签)的机构应添加更完整的关于漏洞的数据。
全球共有379家CVE编号机构(CNAs),分布在40个国家。它们通常是网络安全公司、政府网络安全机构、技术供应商等。
Garrity还特别提及了严重程度评分和漏洞分类:“CVE编号机构应尽最大努力完整补充CVE记录,包括提交产品名称、供应商名称、版本号、详细描述、广泛参考、CPE、CVSS和CWE。”
根据Garrity的说法,NVD漏洞库还应该尽可能自动补充CVE信息,从而填补信息空白。他补充说,NVD漏洞库应该“不再分析每个CVE提交情况,转而建立与CNAs和CVE程序的信任模式,无需人工逐个审核。”
他指出,第三方也应被允许为CVE记录添加信息。
CISA&NIST提出解决办法
4月底,NVD漏洞库表示,正在“努力组建联盟,应对所面临的挑战,并开发更好的工具和方法。”
5月上旬,美国网络安全和基础设施安全局(CISA)表示理解安全社区的担忧和愤慨,并表示正在启动新的漏洞信息富化项目“Vulnrichment”,为CVE添加Garrity所述的大部分内容。
CISA表示:“最近,我们为1300个CVE补充了信息,并将继续努力确保为所有提交的CVE补充信息。我们要求所有CVE编号机构在向CVE.org提交初始信息时就提供完整详细的CVE数据。”
CISA承诺采取其他措施为漏洞管理流程补充信息。立法者已建议为负责维护NVD漏洞库的NIST提供充足预算,以摆脱当前的困境。
5月29日,NVD漏洞库发布状态更新称,已授予一份合同,以支持NVD CVE信息富化工作。据悉,美国安全公司Analygence赢得了这份合同,项目底价为86万美元。
参考资料:https://therecord.media/nist-database-backlog-growing-vulncheck、https://www.csoonline.com/article/2138449/nist-is-finally-getting-help-with-the-national-vulnerability-database-backlog.html
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
