hvad der kan gøres ved den nationale sårbarhedsdatabasen krisebanner

Hvad kan der gøres ved den nationale sårbarhedsdatabasekrise?

National Institute of Standards and Technology (NIST) er i klemme, og det har alvorlige konsekvenser for cybersikkerhedsteams verden over. National Vulnerability Database (NVD), go-to-depotet for Common Vulnerabilities and Exposures (CVE'er), bukker sig under vægten af ​​et hidtil uset efterslæb. I april var kun 4,000 ud af næsten 11,000 CVE'er blevet behandlet, hvilket efterlod svimlende 7,000 sårbarheder i limbo. Dette efterslæb er ikke kun et mindre problem – det er en åbenlys sikkerhedsrisiko.

I lyset af denne voksende krise, hvordan kan sikkerhedsteam sikre, at de er på forkant med potentielle trusler?

Nuværende afbødende indsats fra NIST

Neatsun Ziv, CEO hos Ox Security, siger det ligeud.

"Efterslæbet af ubehandlede CVE'er hos NVD udgør betydelige risici for organisationer, hvilket skaber potentielle blinde vinkler og forsinker reaktioner på nye trusler," siger han til ISMS.online. "Denne efterslæb gavner ondsindede aktører og øger forsyningskæderisici på tværs af kritiske sektorer."

Roger Grimes, datadrevet forsvarsevangelist hos KnowBe4, understreger omfanget af udfordringen.

"Sidste år var der over 33,000 sårbarheder, ifølge NVD. Det resulterer i over 90 nye software- og firmwaresårbarheder hver dag. Det er en enorm opgave at dokumentere, verificere og rangordne disse trusler,” siger han til ISMS.online.

Grimes tilføjer, at "33% af alle vellykkede databrud kun er mulige på grund af upatchet software og firmwaresårbarheder."

NIST har iværksat flere tiltag, der har til formål at afbøde problemet og forbedre den langsigtede funktionalitet af NVD. En bemærkelsesværdig indsats er dannelsen af ​​en NVD konsortium, som har til formål at samle industri, regering og andre interessenter for i fællesskab at administrere og forbedre databasen. Dette konsortium forventes at hjælpe med at fordele arbejdsbyrden mere effektivt og integrere bredere ekspertise i sårbarhedsanalyseprocessen.

Ox Securitys Ziv udtrykker optimisme omkring disse bestræbelser.

"NISTs initiativ til at danne et nyt konsortium rummer et betydeligt potentiale for langsigtede forbedringer," hævder han. "Hvis de implementeres effektivt, vil disse programmer sandsynligvis føre til hurtigere behandlingstider, forbedret datakvalitet og mere rettidige opdateringer, hvilket i høj grad gavner cybersikkerhedssamfundet."

Derudover har Cybersecurity and Infrastructure Security Agency (CISA) introduceret et "vulnrichment"-program designet til at berige CVE-data med mere detaljerede og handlingsrettede oplysninger. Det søger at forbedre kvaliteten og anvendeligheden af ​​sårbarhedsdata, hvilket gør det mere gavnligt for sikkerhedsteams. Men selvom disse initiativer er lovende, giver de ikke øjeblikkelig lindring til organisationer, der i øjeblikket kæmper med efterslæbet.

På trods af disse bestræbelser er efterslæbets umiddelbare virkning fortsat en kritisk bekymring. Sikkerhedsteams skal navigere i denne udfordring ved at finde alternative måder at holde sig informeret om nye sårbarheder og sikre, at deres patch-administrationsprocesser forbliver effektive.

Udfordringen for sikkerhedsteams

Efterslæbet i NVD udgør betydelige udfordringer for sikkerhedsteams, som er afhængige af rettidige og nøjagtige CVE-data for at beskytte deres systemer. Uden de mest opdaterede oplysninger fra NVD kan organisationer være uvidende om nyligt opdagede sårbarheder, hvilket efterlader dem udsat for potentielle angreb. Situationen er især problematisk for mindre organisationer, der mangler ressourcer til at spore sårbarheder uafhængigt på tværs af flere kilder.

"Da nationalstatsaktører og ransomwarebander udnytter disse forsinkelser, er det afgørende at forstå alvoren af ​​situationen og det vedvarende trussellandskab," advarer Ziv.

Sikkerhedsteams står nu over for den skræmmende opgave at manuelt opsøge sårbarhedsoplysninger fra individuelle leverandører. Denne tilgang er arbejdskrævende og udsat for fejl, da den kræver konstant overvågning af flere kilder. Derudover kan manglen på standardiserede sværhedsgrader føre til inkonsekvent vurdering af risiko, hvilket komplicerer beslutningsprocessen vedrørende hvilke sårbarheder, der skal prioriteres til patchning.

Eksperter på området har fremhævet det kritiske behov for en centraliseret, pålidelig kilde til sårbarhedsinformation. Jerry Gamblin, en af ​​de vigtigste trusselsdetektions- og responsingeniører for Cisco Vulnerability Management, understregede at selvom alternative kilder som CISA Known Exploited Vulnerabilities (KEV)-kataloget eksisterer, er de ikke omfattende og fokuserer primært på sårbarheder, der allerede udnyttes aktivt.

Afbødningsstrategier for sikkerhedsteams

For at afbøde virkningen af ​​NVD-efterslæbet kan sikkerhedsteams vedtage flere strategier:

Alternative databaser: Brug andre pålidelige kilder til CVE-information. CISA's KEV-katalog, selvom det ikke er omfattende, kan give kritisk indsigt i aktivt udnyttede sårbarheder.

Automatiserede værktøjer: Implementer automatiserede værktøjer til håndtering af sårbarheder, der kan scanne for sårbarheder og levere opdateringer i realtid. Disse værktøjer kan hjælpe med at bygge bro over det hul, som NVD har efterladt, ved at tilbyde kontinuerlige overvågnings- og alarmfunktioner. Ziv anbefaler automatiserede værktøjer såsom sårbarhedshåndtering og Application Security Posture Management (ASPM).

Trusselsefterretningstjenester: Abonner på trusselsefterretningstjenester, der leverer rettidige og kurerede sårbarhedsoplysninger. Disse tjenester tilbyder ofte mere kontekstuelle data, der hjælper sikkerhedsteams med at forstå relevansen og den potentielle indvirkning af specifikke sårbarheder på deres systemer.

Fællesskabssamarbejde: Engager dig i cybersikkerhedsfællesskaber og -fora, hvor fagfolk deler indsigt og opdateringer om de seneste sårbarheder. Samarbejdsplatforme kan være en værdifuld ressource til at holde sig informeret og udveksle bedste praksis.

Tilpasning til CVE Overload

Mens NIST's initiativer, såsom dannelsen af ​​et konsortium og indførelsen af ​​sårbarhedsprogrammet, lover fremtidige forbedringer, tilbyder de kun lidt umiddelbar lettelse.

Sikkerhedsteams skal derfor tage proaktive skridt for at afbøde virkningen af ​​dette efterslæb. Ved at udnytte alternative databaser som CISA's KEV, ved at anvende automatiserede sårbarhedsstyringsværktøjer, abonnere på trusselsefterretningstjenester i realtid og engagere sig i cybersikkerhedssamfund, kan de udfylde det hul, som NVD har efterladt. Disse strategier hjælper ikke kun med at opretholde et effektivt program til håndtering af programrettelser, men sikrer også en lagdelt og modstandsdygtig sikkerhedsstilling.

NVD-efterslæbet er en skarp påmindelse om vigtigheden af ​​fleksibilitet i cybersikkerhedspraksis. I lyset af modgang forbliver cybersikkerhedssamfundets kollektive ekspertise og opfindsomhed dets største aktiver. Ved at arbejde sammen og dele viden kan det overvinde udfordringerne skabt af NVD-efterslæbet og begynde at opbygge en mere sikker digital verden.

Sidst redigeret: 19. juni 2024
Forfatter

Rene Millman

Rene Millman er en alsidig freelanceskribent og udsender med speciale i cybersikkerhed, AI, IoT og cloud-teknologier. Sideløbende med sin rolle som medvirkende analytiker hos GigaOm, kommer han med stor erfaring som tidligere Gartner-analytiker med fokus på infrastrukturmarkedet. Rene Millman, der er kendt for sin ekspertise, har gjort hyppige tv-optrædener, delt indsigt og analyser om teknologitendenser og indflydelsesrige virksomheder, der former vores daglige liv. Hold dig opdateret med Rene Millmans indsigt ved at følge ham på Twitter.

Se alle indlæg af Rene Millman

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!