Meta veriler, güvenlik açıklarını analiz ederken ve daha ileri düzeyde işlerken son derece önemlidir. CVSS metodolojisinde (Ortak Güvenlik Açığı Puanlama Sistemi) 0 ile 10 arasında bir değer verilen önem düzeyinin yanı sıra, etkilenen ürün ve sürümler hakkında makine tarafından okunabilen bilgiler, güvenlik açığının türü ve yararlanılabilirliği ile yama durumu da verilmektedir. önemli.
Reklamcılık
Güvenlik duvarları, SIEM (Güvenlik Olayı ve Olay Yönetimi) ve XDR (Genişletilmiş Tespit ve Yanıt) gibi tehdit önleme ve günlüğe kaydetmeye yönelik güvenlik ürünleri üreticileri, tehditlere tepki verebilmek için zenginleştirilmiş güvenlik açığı verilerine hızla erişebilmeye güveniyor. yeni tehditler.
Bir ABD hükümet kuruluşu ve NIST standartlar otoritesinin bir parçası olan NVD (Ulusal Güvenlik Açığı Veritabanı), CVE verilerinin zenginleştirilmesinden sorumludur. Ancak Şubat ortasından bu yana artık bu görevi üstlenmiyor; O tarihten bu yana NVD'nin ana sayfasında “analiz çabalarının geciktiğine” ilişkin bir duyuru yayınlandı.
Habercilik sizi özgür kılar mı? NVD gecikmeler hakkında bilgi verir ve kullanıcılardan sabırlı olmalarını ister
(Resim: Ekran görüntüsü / Haberler güvenliği)
Güvenlik açıklarının analizinin ve zenginleştirilmesinin yalnızca geciktirildiği gerçeği, çok fazla gözden kaçırılan bir gerçektir. 15 Şubat'tan bu yana yayınlanan 2.200'den fazla CVE ID güvenlik açığından yalnızca 59'una meta veri eklenmiş ve 2.152'si kullanılmıyor. CVE listesine her gün onlarca ila yüzlerce yeni boşluk eklendiğinden, birikmiş iş yükünü yakalamak zor olacaktır.
Sonuçta CVSS değerlendirmesi genellikle bir güvenlik açığını kendileri bildirenler tarafından gerçekleştirilir, böylece bu bilgiler NVD'deki iş kesintisine rağmen birçok CVE için mevcuttur.
NVD, Şubat ortasından bu yana yalnızca birkaç CVE kimliğini meta verilerle zenginleştirdi.
(Resim: Çapa)
NVD şu anda binlerce açık güvenlik açığıyla nasıl başa çıkacağı ve her şeyden önce çalışmalarına ne zaman devam edeceği konusunda sessiz kalıyor.
ABD federal yetkilileri için NVD zorunlu
Bu durum özellikle BT güvenlik ürünlerini ABD hükümetine satmak isteyen şirketler için can sıkıcı bir durum. FedRAMP (Federal Risk ve Yetkilendirme Yönetimi Programı) yönergelerinin en son sürümüne göre sağlayıcıların, örneğin güvenlik açığı taramalarında güvenlik açıklarını tanımlamak için NVD verilerini kullanması gerekir. Spicy: Ulusal güvenlik açığı veritabanının yöneticisi olan NIST, FedRAMP yönergelerinin oluşturulmasında yer alıyor.
CVE sistemi şu anda artan eleştiriler altındadır. cURL geliştiricisi Daniel Stenberg tahsis uygulamasını defalarca eleştirdi ve veri tabanı patlama noktasına geldi: 2023'te 25.000'den fazla yeni CVE kimliği tahsis edildi; bu, bir önceki yıla göre yüzde 15 artış gösterdi.
(cku)
Haberin Sonu
Reklamcılık
Güvenlik duvarları, SIEM (Güvenlik Olayı ve Olay Yönetimi) ve XDR (Genişletilmiş Tespit ve Yanıt) gibi tehdit önleme ve günlüğe kaydetmeye yönelik güvenlik ürünleri üreticileri, tehditlere tepki verebilmek için zenginleştirilmiş güvenlik açığı verilerine hızla erişebilmeye güveniyor. yeni tehditler.
Bir ABD hükümet kuruluşu ve NIST standartlar otoritesinin bir parçası olan NVD (Ulusal Güvenlik Açığı Veritabanı), CVE verilerinin zenginleştirilmesinden sorumludur. Ancak Şubat ortasından bu yana artık bu görevi üstlenmiyor; O tarihten bu yana NVD'nin ana sayfasında “analiz çabalarının geciktiğine” ilişkin bir duyuru yayınlandı.
Habercilik sizi özgür kılar mı? NVD gecikmeler hakkında bilgi verir ve kullanıcılardan sabırlı olmalarını ister
(Resim: Ekran görüntüsü / Haberler güvenliği)
Güvenlik açıklarının analizinin ve zenginleştirilmesinin yalnızca geciktirildiği gerçeği, çok fazla gözden kaçırılan bir gerçektir. 15 Şubat'tan bu yana yayınlanan 2.200'den fazla CVE ID güvenlik açığından yalnızca 59'una meta veri eklenmiş ve 2.152'si kullanılmıyor. CVE listesine her gün onlarca ila yüzlerce yeni boşluk eklendiğinden, birikmiş iş yükünü yakalamak zor olacaktır.
Sonuçta CVSS değerlendirmesi genellikle bir güvenlik açığını kendileri bildirenler tarafından gerçekleştirilir, böylece bu bilgiler NVD'deki iş kesintisine rağmen birçok CVE için mevcuttur.
NVD, Şubat ortasından bu yana yalnızca birkaç CVE kimliğini meta verilerle zenginleştirdi.
(Resim: Çapa)
NVD şu anda binlerce açık güvenlik açığıyla nasıl başa çıkacağı ve her şeyden önce çalışmalarına ne zaman devam edeceği konusunda sessiz kalıyor.
ABD federal yetkilileri için NVD zorunlu
Bu durum özellikle BT güvenlik ürünlerini ABD hükümetine satmak isteyen şirketler için can sıkıcı bir durum. FedRAMP (Federal Risk ve Yetkilendirme Yönetimi Programı) yönergelerinin en son sürümüne göre sağlayıcıların, örneğin güvenlik açığı taramalarında güvenlik açıklarını tanımlamak için NVD verilerini kullanması gerekir. Spicy: Ulusal güvenlik açığı veritabanının yöneticisi olan NIST, FedRAMP yönergelerinin oluşturulmasında yer alıyor.
CVE sistemi şu anda artan eleştiriler altındadır. cURL geliştiricisi Daniel Stenberg tahsis uygulamasını defalarca eleştirdi ve veri tabanı patlama noktasına geldi: 2023'te 25.000'den fazla yeni CVE kimliği tahsis edildi; bu, bir önceki yıla göre yüzde 15 artış gösterdi.
(cku)
Haberin Sonu