NIST revela novo consórcio para operar seu banco de dados nacional de vulnerabilidades

O NIST, uma agência do Departamento de Comércio dos EUA, lançou o Banco de Dados Nacional de Vulnerabilidades (NVD) dos EUA em 2005 e o opera desde então.

Esperava-se que esta situação mudasse, com a base de dados colocada nas mãos coletivas de organizações avaliadas a partir do início de abril de 2024.

A gerente do programa NVD, Tanya Brewer, fez o anúncio oficial durante a VulnCon , uma conferência de segurança cibernética organizada pelo Fórum de Equipes de Segurança e Resposta a Incidentes (FIRST) e realizada em Raleigh, Carolina do Norte, de 25 a 27 de março de 2024.

A notícia veio após semanas de especulações sobre um possível desligamento do NVD .

NIST interrompeu o enriquecimento de CVE em fevereiro de 2024

No início de março, muitos pesquisadores de segurança notaram uma queda significativa nos uploads de dados de enriquecimento de vulnerabilidades no site do NVD, iniciados em meados de fevereiro.

De acordo com os seus próprios dados, o NIST analisou apenas 199 Vulnerabilidades e Exposições Comuns (CVEs) das 2.957 que recebeu até agora em março.

No total, mais de 4.000 CVEs não foram analisados ​​desde meados de fevereiro.

Como o NVD é o banco de dados de vulnerabilidades mais abrangente do mundo, muitas empresas dependem dele para implantar atualizações e patches.

Se esses problemas não forem resolvidos rapidamente, poderão impactar significativamente a comunidade de pesquisadores de segurança e as organizações em todo o mundo.

Falando à  Infosecurity,  Tom Pace, CEO do provedor de segurança de firmware NetRise, explicou: “Isso significa que você está pedindo a toda a comunidade de segurança cibernética, durante a noite, para de alguma forma descobrir qual é a vulnerabilidade em qual sistema operacional, pacote de software, aplicativo, firmware ou dispositivo. É uma tarefa totalmente impossível e insustentável!”

Dan Lorenc, cofundador e CEO do provedor de segurança de software Chainguard, classificou o incidente como um “problema enorme”.

“Agora contamos com alertas do setor e nas mídias sociais para garantir a triagem dos CVEs o mais rápido possível”, disse ele à Infosecurity .

“Scanners, analisadores e a maioria das ferramentas de vulnerabilidade dependem do NVD para determinar qual software é afetado por quais vulnerabilidades”, acrescentou Lorenc. “Se as organizações não conseguem fazer uma triagem eficaz das vulnerabilidades, isso as expõe a riscos aumentados e deixa uma lacuna significativa na sua postura de gestão de vulnerabilidades.”

Para permanecerem operacionais em meio ao backlog do NVD, diversas empresas de segurança, como VulnCheck, Anchore e RiskHorizon AI, começaram a trabalhar em projetos que poderiam fornecer uma alternativa para algumas partes da divulgação de vulnerabilidades tradicionalmente fornecidas no NVD.

Este episódio coincidiu com o lançamento da última revisão do Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP Rev. 5), uma lei federal dos EUA que exige que qualquer empresa que queira fazer negócios com o governo federal use o NVD como fonte de verdade. e corrigir todas as vulnerabilidades conhecidas dentro dele.

Desafios dentro do NVD levaram a uma “tempestade perfeita”

Antes da declaração do NIST, as especulações sobre o que estava acontecendo incluíam:

• Questões orçamentárias dentro do NIST, já que os legisladores aprovaram recentemente um orçamento de US$ 1,46 bilhão para o NIST para o atual ano fiscal, uma redução de quase 12% em relação ao ano anterior
• Um contrato final com um empreiteiro, possivelmente a Huntington Ingalls Industries – um empreiteiro de construção naval que trabalha publicamente com o NIST no NVD
• Discussões internas para substituir alguns padrões de vulnerabilidade usados ​​pelo NVD, como os Enumeradores Comuns de Produtos (CPEs), que atuam como impressões digitais para produtos de TI, usados ​​para identificar claramente software, hardware e sistemas
• Discussões internas para começar a adotar URLs de pacotes (PURLs), um novo padrão que lista endereços universais para pacotes de software

Na VulnCon, Brewer não se aprofundou muito no motivo do problema do NVD, dizendo: “Embora haja uma história por trás disso, é longa, complicada e muito administrativa”.

Uma declaração por escrito será publicada no site do NVD até 29 de março.

Ela acrescentou que alguns desafios levaram o programa NVD a “esta tempestade perfeita”.

“Em maio de 2023, vi que precisávamos fazer diferente e começar a trabalhar de forma diferente com a indústria. Temos trabalhado nisso desde então. Infelizmente, tivemos a tempestade perfeita e não a concluímos tão rapidamente quanto queríamos.”

Ela disse que o NIST está ativamente realocando pessoal e aumentando sua colaboração com outras agências governamentais no programa NVD.

Ela disse que os dados de enriquecimento devem começar a fluir novamente dentro de algumas semanas.

“Não vamos desligar o NVD; estamos no processo de corrigir o problema atual. E então tornaremos o NVD robusto novamente e faremos com que ele cresça”, insistiu ela.

NIST fornece detalhes sobre um próximo consórcio NVD

Em 15 de fevereiro, o site do NVD anunciou que o NIST “está atualmente trabalhando para estabelecer um consórcio para enfrentar os desafios do programa NVD e desenvolver ferramentas e métodos aprimorados”.

Isto foi confirmado por Brewer na VulnCon.

“Embora a documentação oficial ainda não tenha sido divulgada, o NIST tem toda a intenção de formar o Consórcio NVD para tornar o NVD mais relevante no futuro. Deve estar operacional dentro de duas semanas”, explicou ela.

O Consórcio NVD ajudará o NIST com financiamento e feedback sobre desenvolvimentos futuros.

Também presente na VulnCon, J’aime Maynard, oficial de acordos de consórcios do Technology Partnership Office (TPO), deu informações sobre quem pode ingressar no NVD Consortium e como fazê-lo.

Em resumo, os candidatos devem ser organizações, assinar o mesmo Acordo Cooperativo de Pesquisa e Desenvolvimento (CRADA) com o NIST e aceitar as mesmas condições e riscos. Uma taxa de adesão está sendo considerada.

As entidades que estejam proibidas de assinar um CRADA poderão ser autorizadas a participar no Consórcio ao abrigo de um acordo alternativo adequado.

Cada membro terá um assento no comitê diretor. O Consórcio será estruturado em diferentes grupos de trabalho.

O NIST emitirá um Aviso de Registro Federal detalhando os principais objetivos do Consórcio NVD, como se inscrever e os pontos de contato relevantes no NIST.

Enquanto isso, os interessados ​​podem entrar em contato com o seguinte endereço de e-mail: [email protected].

Plano de um a cinco anos do NVD

Assim que o NVD estiver instalado e funcionando, Brewer disse que o programa considerará novas abordagens para melhorar seus processos nos próximos um a cinco anos, especialmente em torno da identificação de software.

Algumas das ideias incluem:

• Envolver mais parceiros: Ser capaz de fazer com que terceiros enviem dados de CPE para o Dicionário CPE de forma escalonável para se adequar ao número cada vez maior de produtos de TI
• Melhorias na identificação de software: lidar com a identificação de software no NVD de uma forma que seja dimensionada com complexidades crescentes (a adoção de PURLS é considerada)
• Novos tipos de dados: Desenvolvimento de capacidades para publicar tipos adicionais de dados no NVD (por exemplo, do EPSS, NIST Bugs Framework)
• Novos casos de uso: Desenvolver uma maneira de tornar os dados do NVD mais consumíveis e mais personalizáveis ​​para casos de uso específicos (por exemplo, receber alertas por e-mail do NVD quando CVEs forem publicados)
• CVE JSON 5.0: Expandindo os recursos do NVD para utilizar novos pontos de dados disponíveis no CVE JSON 5.0
• Automação: Desenvolvendo uma maneira de automatizar pelo menos algumas atividades de análise CVE

“Queremos evitar a necessidade de qualquer análise humana para enriquecimento de CVE. Desenvolvimentos recentes em IA podem ajudar”, insistiu Brewer.

Alguma “clareza há muito esperada”

Antes da VulnCon, muitos pesquisadores de vulnerabilidade criticaram a decisão do NIST de manter sua primeira declaração pública para a conferência.

Isso foi ilustrado pelo comentário de Lorenc durante o Resilient Cyber, um podcast de vídeo do LinkedIn apresentado por Chris Hughes, presidente da Aquia. “Você anuncia um novo produto chamativo em uma conferência, mas não atualiza o mundo sobre o que está acontecendo com algo tão importante como o NVD”, disse Lorenc.

No entanto, a sessão de Brewer respondeu a muitas perguntas que os pesquisadores de vulnerabilidade fizeram ao NIST no mês passado.

Em declarações à Infosecurity , Hughes da Aquia comentou: “Os comentários forneceram alguma clareza há muito esperada que a indústria tem pedido. A futura abordagem colaborativa deverá trazer novo apoio e participação e também ajudar questões de longa data, como o suporte do NVD para PURL, que ajuda a enfrentar os desafios que o NVD enfrenta atualmente em torno do ecossistema de código aberto e da segurança da cadeia de fornecimento de software.

“O consenso é que esta breve interrupção ajudará a impulsionar uma colaboração mais ampla da indústria através do consórcio, bem como a modernizar desafios de longa data com o NVD e as suas operações e funcionalidades.”

Patrick Garrity, pesquisador de segurança da VulnCheck, concorda.

“A presença do NIST NVD na conferência garantiu à comunidade que o NIST NVD está trabalhando ativamente para resolver a lacuna atual no processamento de CVEs. Embora não haja um cronograma definitivo para a resolução, é evidente que eles estão trabalhando diligentemente para encontrar uma solução, enfatizando também a colaboração com a comunidade através de um novo consórcio”, disse ele.

No entanto, algumas vozes permanecem críticas em relação ao discurso de Brewer na VulnCon. Em uma postagem publicada em 28 de março no fórum do Digital Utility Group do site da EnergyCentral, Tom Alrich, co-líder do Fórum OWASP SBOM , disse lamentar que Brewer não tenha abordado a natureza dos problemas que o programa NVD vem enfrentando ou a razão por trás do atraso recente.