美国用于追踪安全漏洞的联邦数据库几乎陷入停顿。对新披露的漏洞和风险的分析几乎已经不存在,专家警告说,巨大的积压和持续的问题可能导致关键部门的供应链风险。
简单地说:国家漏洞数据库出了问题,而且没有一个有效的解决办法。
为了解决NVD的问题,就必须解决另外一个关键问题,Cyber Threat Alliance总裁兼首席执行官,国家安全委员会前网络安全协调员的Michael Daniel表示:谁应该负责向数据库填充信息,以提供全面和可操作的风险信息?关于这个数据库目前由国家标准技术研究院管理是否应该迁移到网络安全和基础设施安全局,甚至迁移到处理大部分漏洞管理流程的私营部门,还存在很大的争议。
「这些不同的方法各有利弊,安全和漏洞管理社区的相关利益相关者应该聚在一起达成共识,看哪种方法会产生最好的结果。一旦我们回答了这个问题,我们应该确保该功能得到充分资金支持和支持。」
根据NIST的数据,目前至少有9762个CVE尚未被NVD分析。这个数字可能还会继续增加。截至5月13日,NIST仅分析了5月份收到的近2000个新CVE中的两个。NIST在4月下旬承认了NVD的积压问题,当时该机构发布了一份通知,将问题归咎于「多种因素」,包括「软件的增加导致漏洞增加,以及跨机构支持的变化。」
NIST没有提供关于跨机构支持中断的更多详情,并且没有回应关于持续积压的评论请求。该机构在其4月的通知中表示,它正在「寻找更长期的解决方案」,包括可能建立一个由行业、政府和利益相关者组织合作的联盟,以改进NVD的现状。
据风险基础的漏洞管理平台Nucleus Security的联合创始人Scott Kuffer所说,NVD的积压可能会影响主要的网络安全供应商,如CrowdStrike、微软Defender for Endpoint,甚至一些领先的云安全姿态管理工具——例如Orca和Wiz。
「如果他们的主要扫描引擎是基于NVD的,那么他们检测漏洞的能力将受到严重影响。事实上大多数网络安全产品的扫描引擎都是这样的。那么接下来最大的问题是,你的环境中会有你看不见或不知道的漏洞。」
一些威胁分析师认为,私营部门应该承担更多的责任来检测和报告漏洞,因为行业已经具备实时检测的能力。私营部门实体已经负责将漏洞指定为CVE,他们的专业知识和敏捷性可以提高漏洞管理工作的整体效果。
对此持反对观点的分析师认为,数据库应该保留在联邦手中,以更好地促进公私部门在漏洞管理方面的合作,并确保一致的标准和监督。政府集中管理也可以有效减轻私营部门潜在的利益冲突,并确保跨部门风险管理机构解决关键漏洞,进一步保护国家安全和关键基础设施。
NVD计划不执行漏洞测试,因为它依赖于第三方安全研究人员、供应商和漏洞协调员来分配风险属性和额外信息给CVE。NVD工作人员负责从CVE描述中聚合数据点,并编译任何可以在公开在线找到的额外数据。
IT服务管理公司Chainguard的营销副总裁Kaylin Trychon在4月份给国会和商务部的一封信上签名,与其他近50名安全专业人士一起表达了恢复和增强NVD运营的需求。敦促国会对围绕数据库的挑战展开调查,并帮助恢复漏洞强化过程。
信中建议国会将 NVD 视为关键基础设施和基本服务,这样就有可能为数据库及其浓缩业务提供更多资金和国家资源。Trychon 认为,将 NVD 的责任交给私营部门将导致灾难。
「将会有更多的力量试图介入或取代NVD,这将在这个已经复杂的领域引起更多的混乱。这也将成为整个网安行业不可承受之重,导致一个更加严重的安全事故。」
安全专家指出,在放缓之前NIST分析师所做的一部分工作可以自动化,从而提供更高质量、更及时、更一致的NVD数据。但即便如此,面对资源日益匮乏的情况,NVD依旧必须要决定,以怎样的顺序来修补漏洞。
Trychon表示,「NVD数据有助于企业做出这些优先级决策,如果NVD数据不一致或不及时,企业就无法做出正确的优先排序决策,那么整个生态系统就会变得不那么安全。」
参考资料:
https://www.inforisktoday.com/experts-warn-nvd-backlog-reaching-breaking-point-a-25191