image

NIST heeft meer tijd nodig om CVE-achterstand in NVD-database weg te werken

donderdag 14 november 2024, 10:17 door Redactie, 1 reacties

Het Amerikaanse National Institute of Standards and Technology (NIST), een organisatie die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid, heeft meer tijd nodig om de achterstand met het verwerken van kwetsbaarheden in de NVD-database weg te werken. De National Vulnerability Database (NVD) bevat informatie over bekende kwetsbaarheden in soft- en hardware en wordt door het NIST als een essentieel onderdeel van de Amerikaanse cybersecurity-infrastructuur beschouwd. Wereldwijd wordt er echter ook op grote schaal gebruik van gemaakt.

Het NIST heeft echter te maken met een 'backlog' van kwetsbaarheden die moeten worden onderzocht. De NVD-database bevat allerlei informatie over kwetsbaarheden, alsmede hun impact. Kwetsbaarheden in de database worden geïdentificeerd aan de hand van een Common Vulnerabilities and Exposures (CVE) nummer. Tussen 15 februari en 9 april werden er bijna zesduizend CVE-nummers aan de database toegevoegd. In april werd bekend dat duizenden van deze kwetsbaarheden nog moesten worden geanalyseerd. Het CVE-nummer mag dan zijn uitgegeven, informatie over deze beveiligingslekken ontbreekt in de database.

Eind mei liet het NIST weten dat het een contract aan een derde partij had toegekend om te helpen met het verwerken van kwetsbaarheden in de NVD-database. Binnen een aantal maanden zou de situatie weer moeten zijn zoals die voor februari van dit jaar was. Gisteren kwam het NIST met een update waarin het stelt dat de initiële schatting voor het wegwerken van de achterstand te optimistisch was. Alle bekende, actief aangevallen kwetsbaarheden zijn inmiddels weggewerkt, maar een hoop andere beveiligingslekken nog niet.

Volgens het NIST heeft de vertraging te maken met data over nog weg te werken CVE-nummers die het van Authorized Data Providers (ADP's) ontvangt. Deze informatie wordt aangeleverd in een formaat die het NIST naar eigen zeggen op dit moment niet efficiënt kan importeren en verwerken. Er worden nu nieuwe systemen ontwikkeld om inkomende ADP-data efficiënter te verwerken.

Authorized Data Publishers kunnen aanvullende informatie aan CVE-records toevoegen met betrekking tot risicoscores, verwijzingen en eigenschappen. Op dit moment is het Amerikaanse cyberagentschap CISA de enige ADP. De overheidsinstantie voorziet CVE-records van informatie over bekend misbruik en aanvullende informatie over risicoscore en aard van de kwetsbaarheid. Het NIST geeft geen nieuwe schatting wanneer de achterstand is weggewerkt.

Reacties (1)
15-11-2024, 11:26 door Anoniem
Er zou minder achterstand zijn als de CVE details die de leveranciers aanleveren gewoon door de NVD overgenomen worden. Nee, in plaats daarvan gaat iemand die geen kennis heeft van de software of de producten (stel eens voor, je moet duizenden leveranciers in detail kennen) het werk nog eens opnieuw doen. Compleet onschaalbaar. Net zoals hier bij onze NCSC, die 2 personen die samen al die honderden advisories per dag schrijven, een paar per dag, hoe diep kun je er in duiken?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.