2005 yılından bu yana, Ulusal Güvenlik Açığı Veritabanı (NVD), dünyanın dört bir yanından güvenlik araştırmacıları tarafından keşfedilen günlük yüzlerce yaygın güvenlik açığı ve maruziyet (CVE) hakkında ayrıntılar yayınlıyor. Ancak geçen ay, hükümetin desteklediği kritik veri tabanı önemli bir araç olmaktan çıkıp neredeyse karanlık bir hedefe dönüştü.
İşte o zaman NVD, web sitesinde kullanıcıların “geçici olarak gecikmeler göreceğini” söyleyen çok şifreli bir duyuru yayınladı. [our] Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) iyileştirilmiş araç ve yöntemleri uygulamaya koyarken “analiz çabaları”. Daha fazla açıklama yapılmadı.
Donma tamamen genel değil: CVE’lerin küçük bir yüzdesi NIST tarafından belgeleniyor, ancak hiçbir şekilde önceki yıllarda görülen hızda değil. Bu, kurumsal güvenlik yöneticilerini yeni tehditlere karşı hazırlıklı olma konusunda zor durumda bırakıyor.
CVE modeli, tehditleri toplayan 365 iş ortağından oluşur; bunların yaklaşık yarısı ABD merkezlidir ve çok çeşitli yazılım satıcılarını, hata ödül operatörlerini ve özel araştırma firmalarını kapsar. Her katılımcı, yeni öğelerin benzersiz olmasını sağlamak için dikkatli bir şemaya göre yeni tehditler gönderir. Yılın başından bu yana 6.000’den fazla yeni CVE yayınlandı.
Ancak açıklanamayan bir nedenden ötürü, bunların neredeyse yarısı NVD’de herhangi bir ayrıntıyı, yani güvenlik açığı verilerini kurumsal güvenlik yöneticileri için yararlı kılan ayrıntıları ve saldırganlardan gelebilecek olası zararları önlemeye yardımcı olabilecek çok sayıda güvenlik açığı yönetimi aracını atladı.
Bu araçlardan biri Tenable’ın Nessus güvenlik açığı tarayıcısıdır. Araştırmacıları, NIST’in NVD’sinin her bir güvenlik açığına ek bağlam sağladığını, tehdidin kritik olup olmadığını ve anında yama uygulanması gerekip gerekmediğini veya geniş bir uygulama ve işletim sistemi popülasyonunu etkileyip etkilemediğini belirleyebileceğini belirtiyor.
Chainguard’ın CEO’su Dan Lorenc, Geçen ay LinkedIn’de bir gönderi yazdım durumu belgeliyor. ” [latest] CVE girişleri, gerçekte hangi yazılımın etkilendiğine dair herhangi bir meta veri içermiyor” diye yazdı. “Bu çok büyük bir sorun ve sorunla ilgili gerçek bir açıklamanın eksikliği [by NIST] sıkıntı verici.”
Lorenc bu düşüncesinde yalnız değil. Anchore’dan Josh Bressers, “Bu, ulusal öneme sahip bir veri setidir” diyor. durumla ilgili yorumlar yayınladı bu aydan daha erken. “Daha net bir iletişim beklerdim çünkü kimse bir şey bilmiyor. Her şey bir sır.”
NIST temsilcileri Dark Reading’in yorum taleplerine yanıt vermedi.
Şubat ayındaki dondurmadan önce NIST, her CVE’yi bu yararlı meta verilerle düzenli olarak güncelledi; Bazen bu güncellemeler, keşfedilme tarihinden NVD girişlerinde açıklanmasına kadar haftalar veya aylar sürebilir. “Ancak sektörün de gördüğü gibi, NIST’in CVE kayıtlarını tamamlamasını beklemenin bir maliyeti var. Her yıl daha fazla CVE yayımlandığı için artık yazılım satıcılarının daha eksiksiz CVE kayıtları sağlamaları için daha fazla fırsatımız var.” Güvenilir araştırmacılar şunları söyledi:. Tercüme edilmişse bu, başka birinin boşluğu doldurması gerektiği anlamına gelir.
Bir güvenlik araçları satıcısı olan Morphisec, NVD’nin durumunu açıklayan bir blog yazısı yayınladı bu aydan daha erken. Morphisec CTO’su Michael Gorelik, “Küçük kuruluşlar sürekli olarak yama peşinde koşuyor. NVD’de meta veri eksikliği, anlık faydaları kaybedecekleri ve genel güvenliklerini azaltacakları anlamına geliyor” diyor. “Bu, özellikle Bugün fidye yazılımı açısından zengin bir manzaraya sahibiz. Bu, GenAI’nin oluşturduğu tehditlerden daha büyük acil bir sorundur.”
Netrise CEO’su Tom Pace, donmanın bir sorun olduğunu söylüyor. “Belirli güvenlik açıklarının etkilerini artık bilmiyoruz” diyor. “Bu durum iyi bir durum değil. Dünya çapında pek çok kişi bu veri setine güveniyor. Bu durum yama uygulamasını daha zor ve daha yavaş hale getirecek.” Bu, kötü aktörlerin kurumsal ağlara girmek için daha fazla zamanları olduğu anlamına geliyor.
Bir Alternatif: MITRE Boşluğu Doldurmak İçin Adım Atıyor
NIST, NVD’den sorumlu kurum olabilir, ancak arkasında yatan asıl iş ürünündeki aslan payı, CVE koleksiyonuyla ilgilendiği için ünlü savunma yüklenicisi MITRE’den geliyor. Pace şöyle diyor: “Bu teknik bir konu değil; neden MITRE bu boşluğu doldurmuyor? NIST’in zaten daha küçük bir ekibi var.” Görevinden vazgeçtiği ve güvenlik ekiplerini karanlıkta bıraktığı için MITRE’ye sesleniyor.
Dark Reading’in MITRE’den daha fazla bilgi talebi reddedildi: Bir şirket temsilcisi “MITRE şu anda bu konu hakkında konuşamıyor” dedi. Pace şunu soruyor: “Özel sektör bunu kendi başına nasıl çözebilir?”
Özel sektör elbette NVD alternatifleri üzerinde çalışıyor. Bu amaçla, bir güvenlik danışmanı LinkedIn’de şöyle yorum yaptı: “NVD düzeltilemez ve bundan vazgeçip hem onu hem de CVE’yi birlikte düzeltmemiz gerekiyor. ABD hükümeti bunu çözemeyecek ve çözümlerin üretilmesi gerekiyor. Özel sektör tarafından.”
Onlarca yıl boyunca oluşturulmuş çok sayıda başka veri koleksiyonu var. Tenable, Qualys ve Ivanti gibi birçok güvenlik sağlayıcısı, saldırıları önlemeye yardımcı olacak daha fazla meta veri ayrıntısı ve diğer öğeleri içeren kendi güvenlik açığı koleksiyonlarını oluşturdu. Yıllardır devam eden ancak NVD’nin dondurulması sayesinde son zamanlarda daha fazla ilgi gören birçok açık kaynak çalışması da var.
Açık kaynak çabalarından biri NVD++ koleksiyonuna sahip VulnCheck. Bir diğeri ise Güvenlik Açığı Veritabanını Aç (OVD) bir çeşitli satıcılarGoogle, SonarSource, GitHub, Snyk ve diğerleri dahil. Bunların her ikisi de, güvenlik açığı verilerinin daha iyi otomatik olarak sorgulanmasını isteyen NVD kullanıcılarının yaşadığı hayal kırıklığından kaynaklandı. NIST NVD, bu sorgulara hem NVD++ hem de OVD’nin ortadan kaldırdığı hız sınırları getirmiştir. NIST’in NVD’sindeki koleksiyonlardan herhangi birine geçiş yapmak kolay değildir ve biraz programlama çalışması ve test süresi gerektirecektir.
Bir başka çaba da çeşitli devlet kurumlarının bir araya gelerek kendi güvenlik açığı veritabanı. Bu dünyanın geri kalanı için kötü bir haber olabilir çünkü NVD ve açık sistem çabalarına özgü kavram kanıtlarının bulunmaması gibi nelerin yayınlanacağı konusunda kısıtlamalar olacaktır. Araştırmacılar bunun aynı zamanda daha fazla Çin sıfır gün saldırısına yol açabileceğini ve aslında bu güvenlik açıklarını silah haline getirebileceğini düşünüyor.
Başka Bir Çözüm: Yeni Bir Sanayi Konsorsiyumu
NVD web sitesindeki bilgiler, güvenlik araştırmacılarının şüpheci olmasına rağmen, veritabanını işletebilecek bir konsorsiyumdan bahsediyor. Açıklamada, çabanın bir parçası olacak gibi ayrıntılar konusunda zayıftı. Pace şöyle diyor: “Yıllardır aynı süreci takip ederek ve oldukça verimli bir şekilde güvenlik açıklarını açığa çıkarıyor ve zenginleştiriyoruz. Neden şimdi bir konsorsiyuma ihtiyacımız olsun ki?” Bressers bir konsorsiyumun mümkün olduğunu söylüyor ancak NVD’nin daha kullanışlı bir halefini yaparken şeytanın ayrıntıda gizli olacağını söylüyor. Güvenlik açıklarının katlanarak büyümeye devam ettiğini ve herhangi bir çözümün buna göre ölçeklendirilmesi gerektiğini belirtiyor.
Son olarak, NVD’nin dondurulmasıyla ilgili bir başka karmaşıklık da, federal hükümetin diğer bölümlerinin raporlama gereksinimlerine aykırı olmasıdır. Federal Risk ve Yetkilendirme Yönetimi programının en son sürümü Rev. 5 Federal yüklenicilerin NVD’yi yetkili bir tehdit kaynağı olarak kullanmaları gerektiğini zorunlu kılar. Lorenc, blog yazısında şunları kaydetti: “Hükümetin diğer bölgeleri bu programı benimsemeye zorlarken, NIST bir şekilde bu programı sona erdirmeye veya devretmeye çalışıyormuş gibi görünüyor.” “Burada neler oluyor?”
Gelecek hafta güvenlik açığı araştırmacıları bir araya gelecek. Raleigh, NC’deki VulnCon konferansıBir “NVD sempozyumunun” gündemde olduğu yer. Belki o zaman daha fazla ayrıntı ortaya çıkar.