NIST ziet achterstand met verwerken CVE-kwetsbaarheden verder groeien
Het Amerikaanse National Institute of Standards and Technology (NIST), een organisatie die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid, ziet de vorig jaar ontstane achterstand met het verwerken van kwetsbaarheden in de NVD-database alleen maar verder groeien en kijkt nu onder andere naar het gebruik van machine learning om de situatie te verlichten.
De National Vulnerability Database (NVD) bevat informatie over bekende kwetsbaarheden in soft- en hardware en wordt door het NIST als een essentieel onderdeel van de Amerikaanse cybersecurity-infrastructuur beschouwd. Wereldwijd wordt er echter ook op grote schaal gebruik van gemaakt. De NVD-database bevat allerlei informatie over kwetsbaarheden, alsmede hun impact.
Kwetsbaarheden in de database worden geïdentificeerd aan de hand van een Common Vulnerabilities and Exposures (CVE) nummer. Vorig jaar werden er duizenden CVE-nummers aan de database toegevoegd. Het NIST liet toen ook weten dat het duizenden van deze kwetsbaarheden nog moest analyseren. Het CVE-nummer mag dan zijn uitgegeven, informatie over deze beveiligingslekken ontbreekt in de database.
Het NIST verklaarde vorig jaar dat de vertraging te maken had met data over nog weg te werken CVE-nummers die het van Authorized Data Providers (ADP's) ontvangt. Deze informatie wordt aangeleverd in een formaat dat het NIST naar eigen zeggen destijds niet efficiënt kon importeren en verwerken. Er werden als oplossing nieuwe systemen ontwikkeld om inkomende ADP-data efficiënter te verwerken.
Volgens het NIST worden nieuwe CVE's nu net zo snel verwerkt als voor de ontstane problemen begin 2024. De organisatie merkt op dat het aantal CVE-inzendingen vorig jaar echter met 32 procent is toegenomen en dat de eerdere verwerkingssnelheid niet meer genoeg is om het aantal inzendingen bij te houden. Daardoor is de ontstane achterstand alleen maar verder gegroeid.
Voor dit jaar verwacht het NIST dat het aantal CVE-inzendingen alleen nog maar zal toenemen, wat tevens aantoont dat de NVD-database belangrijker is dan ooit in het beschermen van de nationale infrastructuur, aldus de organisatie. Om de situatie op te lossen zegt het NIST interne processen efficiënter te willen maken en wordt er gekeken naar de inzet van machine learning.
ontopic: zonder CVE geen actieve entrie in de CISA known exploited vulnerability catalogus, waar veel AV vendors gebruik van maken. Dit zou wel eens een heel groot probleem kunnen worden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer
College ter Beoordeling van Geneesmiddelen
Bij het CBG werken we met gevoelige informatie. Geneesmiddelendossiers met onderzoeksresultaten, persoonsgegevens en marktinformatie bijvoorbeeld. Als onze Information Security Officer (ISO) heb jij een onmisbare rol in de beveiliging van alle gegevens waar het CBG dagelijks mee werkt.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
