Af Eskil Sørensen, 10/06/24
National Institutes of Standards, NIST, der hører under det det amerikanske handelsministerium, har forpligtet sig til at nedbringe køen af sårbarheder, der venter på at blive føjet til National Vulnerabilities Database.
Det skriver Dark Reading, efter at NIST har meldt en plan ud for, hvordan de kommer tilbage på sporet.
Der er dermed gået mere end 100 dage, siden NISTs NVD-team stort set stoppede med at validere sværhedsgraden af de sårbarhedsrapporter, som producenterne sender ind.
Planen indeholder en ”flerstrenget tilgang”, herunder et samarbejde med både offentlige og private aktører deltagere for at komme de fremtidige behov i møde. Blandt samarbejdespartnerne er CISA, CVE-board’et, CNA’erne, FIRST (Forum for Incident Response and Security Teams) og "fællesskabet omkring håndtering af sårbarheder", som det hedder. Alle sammen aktører med bogstavsforkortelser, der gør det vanskeligt for de fleste overhovedet at forstå, hvad der foregår på et område, som trusselsaktører har formået at kapitalisere på: Udnyttelse af sårbarheder til kompromittering af systemer og it-produkter.
Om pausen har medført forøget udnyttelser, er i øvrigt vanskeligt at vide, men NVDs validering af sårbarheder vurderes i al fald til at have så stor en værdi for cybersikkerhedsmiljøet, at man ønsker at putte flere ressourcer i det.
Plan skal imødegå flaskehalse
NISTs arbejde med validering omfatter ”berigelse” af typisk nye sårbarheder, der er rapporteret ind i CVE-processen med yderligere oplysninger eller ved verificering af eksisterende oplysninger ift. de berørte produkter, kontrol af de tildelte en CWE-identifikatorer og beregning af metrikker fsa. effekt- og udnyttelser.
Den altoverskyggende udfordring for NIST er, at antallet af sårbarheder er eksploderet i seneste år – øjensynligt uden at processerne til validering er fulgt med. Således er en medarbejder ved NIST er citeret for at sige, at NIST ”..planlægger at identificere processer, der vil resultere i en bedre NVD, der inkluderer brug af automatisering, værktøjer og opdaterede standarder og dataspecifikationer."
De nye metoder skal altså gøre brug af teknologiske løsninger ift. at håndtere det større antal sårbarheder, der bliver afdækket og som i år forventes at komme op på 35-40.000 – en fordobling på knap tre år.
Opråb fra industrien til kongressen
I midten af februar stoppede NIST, som vedligeholder National Vulnerability Database, næsten med at behandle nye sårbarheder, med henvisning til en "perfekt storm" af udfordringer, hvor den eksponentielle stigning i antallet af sårbarheder nødvendigvis må være den største. Hvilket ikke kun er et problem for de medarbejdere, der ønsker at anvende nødvendige softwarerettelser, men også for udbydere af trusselsinformationer, der gerne vil forstå mekanismerne.
Der spekuleres dog på, ifølge kilder, som Dark Reading har talt med, om den nuværende indsats vil være nok. ”Regeringen er nødt til at hæve NVD's prioritet og behandle den som en væsentlig service og kritisk infrastruktur”, hedder det fx fra en medarbejder ved supply chain sikkerhedsfirmaet Chainguards, der sammen med andre fagfolk inden for cybersikkerhedsindustrien i april sendte et brev til den amerikanske kongres. Her advarede de om en krise inden for cybersikkerhed og opfordrede dem til at genoprette NVD til fuld drift. Om det er det pres, der hjalp NIST med at få nye/ frigøre ressourcer er uklart.
Links:
https://www.darkreading.com/vulnerabilities-threats/nist-commits-to-plan...