Especialistas alertam que o backlog do NVD está atingindo um ponto de ruptura

A base de dados federal dos Estados Unidos para rastrear vulnerabilidades de segurança praticamente parou. A análise das vulnerabilidades e exposições recentemente divulgadas tornou-se quase inexistente, à medida que os especialistas alertam que o enorme atraso e os problemas contínuos podem resultar em riscos na cadeia de abastecimento em setores críticos.

Simplificando: o banco de dados nacional de vulnerabilidades está quebrado e não há uma solução fácil.

Uma questão crítica deve ser resolvida para resolver os problemas do NVD, disse Michael Daniel, presidente e CEO da Cyber ​​Threat Alliance e ex-coordenador de segurança cibernética no Conselho de Segurança Nacional. Quem deve ser responsável por preencher o banco de dados com informações para fornecer informações de risco abrangentes e acionáveis? Há um debate sobre se o banco de dados, atualmente gerenciado pelo Instituto Nacional de Padrões e Tecnologia, deve migrar para a Agência de Segurança Cibernética e de Infraestrutura ou mesmo para o setor privado, que cuida de grande parte do processo de gerenciamento de vulnerabilidades.

“Há prós e contras nessas diferentes abordagens”, disse Daniel ao Information Security Media Group. Ele disse que as partes interessadas relevantes nas comunidades de segurança e gestão de vulnerabilidades deveriam se unir “e chegar a um consenso sobre qual abordagem produziria o melhor resultado”.

“Assim que respondermos a esta pergunta, devemos garantir que a função seja fortemente financiada e apoiada”, acrescentou.

Pelo menos 9.762 CVEs permanecem atualmente não analisados ​​pelo NVD, de acordo com dados do NIST. É provável que o número aumente. Até segunda-feira, o NIST analisou apenas dois dos quase 2.000 novos CVEs recebidos em maio.

O NIST reconheceu o atraso do NVD no final de abril, quando a agência publicou um aviso que atribui os problemas a “uma variedade de fatores”, incluindo “um aumento no software e, portanto, nas vulnerabilidades, bem como uma mudança no suporte interagências”.

O NIST não forneceu mais detalhes sobre a aparente interrupção no apoio interagências e não respondeu a um pedido de comentários sobre o atraso em curso. A agência disse no seu aviso de abril que estava “procurando soluções de longo prazo”, incluindo o potencial estabelecimento de um consórcio de organizações industriais, governamentais e de partes interessadas para colaborar e melhorar o NVD.

O backlog do NVD pode afetar potencialmente os principais fornecedores de segurança cibernética, como CrowdStrike, Microsoft Defender for Endpoint, e até mesmo algumas das principais ferramentas de gerenciamento de postura de segurança em nuvem – como Orca e Wiz, de acordo com Scott Kuffer, cofundador da vulnerabilidade baseada em risco plataforma de gerenciamento Nucleus Security.

“Se eles estão derivando seus principais mecanismos de varredura no NVD, o que acontece com a maioria deles, então sua capacidade de detectar vulnerabilidades será severamente afetada, se não totalmente prejudicada”, disse Kuffer ao ISMG.

“O maior impacto é que haverá vulnerabilidades em seu ambiente que você não vê ou não conhece”, acrescentou.

Alguns analistas de ameaças argumentaram que o sector privado deveria assumir mais responsabilidade na detecção e comunicação de vulnerabilidades, uma vez que a indústria já provou ser capaz em métodos de detecção em tempo real. As entidades do sector privado já são responsáveis ​​pela designação de vulnerabilidades como CVE e a sua experiência e agilidade poderiam melhorar a eficácia global dos esforços de gestão de vulnerabilidades.

O contra-argumento é que a base de dados permanece nas mãos do governo federal, para melhor promover a colaboração do sector público-privado na gestão de vulnerabilidades e garantir padrões e supervisão consistentes. Uma abordagem centralizada a nível federal também poderia ajudar potencialmente a mitigar os conflitos de interesses do sector privado e garantir que as vulnerabilidades críticas sejam abordadas nas agências de gestão de riscos do sector, protegendo ainda mais a segurança nacional e as infra-estruturas críticas.

O programa NVD não realiza testes de vulnerabilidade; ela depende de pesquisadores de segurança, fornecedores e coordenadores de vulnerabilidade terceirizados para atribuir atributos de risco e informações adicionais aos CVEs. Os membros da equipe do NVD têm a tarefa de agregar pontos de dados das descrições de CVE e compilar quaisquer dados adicionais que possam ser encontrados publicamente online.

Kaylin Trychon, vice-presidente de marketing da empresa de gerenciamento de serviços de TI Chainguard, assinou uma carta em abril ao Congresso e ao Departamento de Comércio, juntamente com quase 50 outros profissionais de segurança, expressando a necessidade de restaurar e aprimorar as operações de NVD. A carta instava o Congresso a lançar uma investigação sobre os desafios que cercam o banco de dados e ajudar a restaurar o processo de enriquecimento de vulnerabilidades.

A carta sugeria que o Congresso tratasse o NVD como uma infra-estrutura crítica e um serviço essencial, que poderia potencialmente expandir o financiamento e os recursos federais para a base de dados e as suas operações de enriquecimento. Trychon pensa que entregar as responsabilidades do NVD ao sector privado levaria ao desastre.

“Serão criados mais recursos para tentar intervir ou substituir o NVD, e isso causará ainda mais confusão em um espaço já complexo”, disse ela ao ISMG. “Isso é algo que, como indústria, não podemos permitir e pode resultar em um incidente de segurança muito evitável”.

Especialistas contaram ao ISMG uma parte do que os analistas do NIST estavam fazendo antes que a desaceleração pudesse ser automatizada, permitindo dados NVD mais de alta qualidade, oportunos e consistentes. Mas mesmo assim, as organizações com poucos recursos ainda precisam decidir quais vulnerabilidades corrigir e em que ordem.

“Os dados do NVD ajudam as organizações a tomar decisões de priorização”, disse Daniel. “Se os dados do NVD não forem consistentes ou oportunos, todo o ecossistema ficará menos seguro porque as empresas não serão capazes de tomar boas decisões de priorização.”