Profissionais de segurança cibernética pedem que o Congresso dos EUA ajude o NIST a restaurar a operação do NVD

Um grupo de 50 profissionais de segurança cibernética assinou uma carta aberta que foi enviada em 12 de abril à Secretária de Comércio dos EUA, Gina Raimondo, e a vários membros do Congresso dos EUA.

A carta é intitulada Uma crise de segurança cibernética à espera: Sobre a necessidade de restaurar e aprimorar as operações com o banco de dados nacional de vulnerabilidades.

No documento, os signatários instam o Congresso a investigar as questões em curso com o NVD, ajudar o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) a restaurar o enriquecimento de vulnerabilidade e apoiar o Instituto na modernização do programa NVD.

Consórcio NVD: a resposta do NIST ao backlog de vulnerabilidades

No início de março, pesquisadores de segurança notaram uma queda significativa nos uploads de dados de enriquecimento de vulnerabilidades no site do NVD. A queda começou em meados de fevereiro.

Embora as entradas de vulnerabilidade (conhecidas como Vulnerabilidades e Exposições Comuns, ou CVEs) continuassem a ser adicionadas ao banco de dados, muitas não foram totalmente analisadas.

Isto significou que metadados cruciais sobre CVEs, como as correspondentes Fraquezas e Exposições Comuns (CWEs), Enumeradores de Produtos Comuns (CPEs) e pontuações de criticidade (CVSS), não foram adicionados ao banco de dados.

De acordo com seus próprios dados , o NIST analisou apenas 4.398 dos 10.826 CVEs recebidos até agora neste ano.

Os problemas parecem advir da falta de recursos, incluindo financiamento e recursos humanos.

No final de março, o NIST lançou um consórcio industrial para apoiá-los na gestão e financiamento do programa NVD no futuro.

Priorize uma resposta de curto prazo

Os signatários da carta aberta argumentaram que a prioridade deveria ser resolver o atual atraso no NVD.

Como o NVD é o banco de dados de vulnerabilidades mais abrangente do mundo, muitas empresas dependem dele para implantar atualizações e patches.

Se esses problemas não forem resolvidos rapidamente, poderão impactar significativamente a comunidade de pesquisadores de segurança e as organizações em todo o mundo.

Os autores sugeriram que somente quando isso for feito o NIST e o Consórcio NVD deveriam se concentrar na reorganização das divulgações de vulnerabilidades e dos processos de gerenciamento dentro do programa NVD.

Por enquanto, os signatários instam o Congresso a apoiar o NIST em três ações imediatas:

1. Investigue os problemas contínuos com o NVD
2. Garanta que o NIST tenha os recursos necessários para restaurar as operações imediatamente
3. Estabeleça as bases para melhorias críticas no serviço

Restaurando as operações do NVD: recomendações da indústria

Para atingir esses objetivos, os signatários sugeriram diversas recomendações, incluindo:

• Implementar processos provisórios para que o NVD atue como uma passagem de dados da Autoridade de Numeração CVE (CNA) sem reclassificar ou duplicar o trabalho dos programas CVE, exceto em casos de aparentes imprecisões nos dados fornecidos pelo CNA.
• Estabelecer um plano, com prazos e responsabilização claros, para melhorar os processos e operações do NVD e abrir o plano à contribuição das partes interessadas públicas e privadas com um período de comentários públicos.
• Investigue a falta de transparência do NIST em relação à regressão nas operações NVD de 15 de fevereiro a 25 de março.
• Considerar o estabelecimento de financiamento sustentado para fornecer recursos fiáveis ​​para as operações diárias do NVD sem conflitos de interesses.
• Tratar o NVD como uma infra-estrutura crítica e garantir que o programa NVD continue a funcionar durante paralisações governamentais e outras perturbações que, de outra forma, impediriam os serviços críticos que presta.
• Mantenha o NVD independente . Embora a colaboração da indústria com o NIST e o NVD deva ser incentivada, uma única entidade deve possuir e operar o NVD, dado o seu papel crítico como fonte de verdade para o governo federal.

Os signatários da carta aberta são indivíduos que trabalham no cenário de segurança, incluindo gigantes da tecnologia como Google, organizações de código aberto como OpenSSF e fornecedores de segurança como Chainguard, VulnCheck e Okta.