Eles também pretendem eliminar o acúmulo de CVEs não processados do NVD até o final do ano fiscal (ou seja, 30 de setembro).
O NVD começou a abrandar os seus esforços de enriquecimento de CVE no início deste ano, e o NIST confirmou que está a trabalhar numa solução multifacetada que incluirá ferramentas e métodos melhorados, bem como estabelecerá um consórcio que ajudará a enfrentar vários desafios.
Tanya Brewer, gerente de programa do NVD, disse em abril que o programa NVD está considerando muitas mudanças para melhorar a identificação de software, automatizar (algumas) atividades de análise de CVE, tornar os dados do NVD mais fáceis de “consumir” e personalizar, desenvolver capacidades para publicar informações adicionais tipos de dados (por exemplo, pontuações EPSS) e muito mais.
Algumas semanas depois, a Agência de Segurança Cibernética e de Infraestrutura (CISA) iniciou um programa de “vulnriquecimento” CVE , para ajudar a preencher a lacuna atual.
Em 20 de maio, o NIST informou que o NVD começou a ingerir registros CVE 5.0 e CVE 5.1 para CVEs de hora em hora. Dez dias depois veio esta última e bem-vinda promessa: o NVD estará completamente de volta aos trilhos no final de setembro.
Uma notícia mais bem-vinda é que o NIST não planeja entregar as chuvas do NVD.
“Com um histórico de 25 anos fornecendo esse banco de dados de vulnerabilidades para usuários em todo o mundo e dado que não desempenhamos uma função de fiscalização ou supervisão, o NIST é especialmente adequado para gerenciar o NVD. O NIST está totalmente empenhado em manter e modernizar este importante recurso nacional que é vital para construir e manter a confiança na tecnologia da informação e promover a inovação”, afirmou a agência do Departamento de Comércio dos EUA .
“O NIST também está trabalhando em maneiras de lidar com o volume crescente de vulnerabilidades por meio de atualizações de tecnologia e processos. Nosso objetivo é construir um programa que seja sustentável no longo prazo e apoiar a automação do gerenciamento de vulnerabilidades, medição de segurança e conformidade.”
ATUALIZAÇÃO (31 de maio de 2024, 03h50 ET):
A Analygence, com sede em Maryland, é a empresa escolhida para ajudar o NIST a processar CVEs para inclusão no NVD, de acordo com a Recorded Future.
A empresa já recebeu contratos para apoiar a missão de segurança cibernética e privacidade do Laboratório de Tecnologia da Informação do NIST e da Subdivisão de Gerenciamento de Vulnerabilidade da CISA.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…