Nyomonkövethetetlen sérülékenységek

April 3, 2024 Yanac CVE, NVD, Sérülékenység

A Common Vulnerabilities and Exposures (CVE) listája és a National Vulnerability Database (NVD) jelentős kihívásokkal néz szembe. A Flashpoint 2024. márciusi jelentése mintegy 100 000 olyan sebezhetőséget emelt ki, amelyekhez nem rendeltek CVE-számot, és ezek közül 330-at aktívan kihasználnak a vadonban, ami azt mutatja, hogy a jelenlegi rendszer nem képes az összes létező veszélyt regisztrálni és közölni. Ezen túlmenően aggályok merültek fel a kétes vagy téves sebezhetőségek felvételével kapcsolatban, amint azt Daniel Steinberg, a cURL projekt munkatársa kritikája is mutatja, amely szerint a CVE-rendszer jelentéseiben mind hamis negatív, mind hamis pozitív értékek is szerepelnek.

A felmerülő sebezhetőségek száma és a CVE-rendszer katalogizálási kapacitása közötti egyre növekvő szakadék kezelése érdekében a javaslatok között szerepel a CVE-számozási hatóságok (CNA-k) számának bővítése a lefedettség javítása érdekében. Ez a megközelítés azonban felhígíthatja a CVE-lista minőségét és megbízhatóságát, mivel növeli a hibás bejegyzések kockázatát. Eközben az NVD sebezhetőségek gazdagítására és elemzésére irányuló képességét erőforrás-korlátok nehezítik, ami a sebezhetőségi elemzések ideiglenes leállásához vezetett, aminek eredményeképpen a NIST konzorciumot hoz létre a munkaterhelés elosztására. Mindez a kiberbiztonsági infrastruktúrán belül egy szélesebb körű problémát tükröz: a fenyegetések gyorsan növekvő mennyiségével és összetettségével való lépéstartásért folytatott küzdelmet.

A sebezhetőség-kezelési eszközök szélesebb ökoszisztémája, beleértve a MITRE ATT&CK keretrendszerét és a FIRST Org Exploit Prediction Scoring System (EPSS) rendszerét, megpróbál további kontextust és sürgősséget biztosítani a CVE-ben és az NVD-ben felsorolt sebezhetőségeknek. Ezek az eszközök azonban nem tudják teljes mértékben ellensúlyozni a CVE rendszer hiányosságait, különösen a hiányos lefedettséget és a bejegyzések változó minőségét. A MITRE és a NIST folyamatban lévő erőfeszítései, beleértve a konzorcium létrehozását és az új módszertanok feltárását, rávilágítanak arra, hogy a fejlődő kiberfenyegetésekkel szemben a sebezhetőségek nyilvánosságra hozatalának és kezelésének hatékonyabb és átfogóbb megközelítésére van szükség.

(forrás)