- 10,556
- 18
- 8 Ноя 2022
3 месяца без обновлений — отличная возможность для киберпреступников.
В крупнейшей в мире базе уязвимостей NVD , управляемой Национальным институтом стандартов и технологий США ( NIST ), недавно Для просмотра ссылки Войдиили Зарегистрируйся который привёл к значительному увеличению числа неопубликованных уязвимостей.
С середины февраля 2024 года в работе базы начали возникать проблемы с обработкой новых данных, а начиная с 9 мая сервис и вовсе перестал показывать новые уязвимости, что вызвало обеспокоенность среди исследователей кибербезопасности.
Все причастные специалисты из государственного и частного секторов делают всё возможное, чтобы внести в базу обширный бэклог , скопившийся за три месяца, и заполнить пробелы там, где это возможно.
С 12 февраля этого года NIST смог проанализировать и добавить в свою базу лишь 4524 из 14 286 уязвимостей. Всё это негативно влияет на осведомлённость команд безопасности и создаёт новые возможности для злоумышленников.
На недавней конференции RSA Эммануэль Чавойя, генеральный директор RiskHorizon.ai, заявил, что необработанные уязвимости уже активно эксплуатируются. Многие компании зависят от NVD для обновления и исправления программного обеспечения, поэтому остановка публикаций стала серьёзной проблемой.
Сотрудники из различных компаний и государственных учреждений подтвердили, что с 9 мая новые уязвимости не добавляются в базу через API. Представитель NIST объяснил, что проблемы были вызваны переходом на новый формат данных CVE — JSON. Обработка уязвимостей не прекращалась, но публичные публикации были приостановлены для обновления системы, которое завершилось лишь 14 мая.
В марте Таня Брюэр, менеджер программы NVD, объявила о создании консорциума для решения возникших проблем, но конкретные детали пока остаются неизвестными. В это время частные компании, такие как RiskHorizon.ai, запустили собственную платформу под названием «NVD Backlog Tracker» для отслеживания необработанных уязвимостей.
Компания RiskHorizon.ai заявила, что покрывает 85% необработанных уязвимостей, предоставляя данные об их критичности и активности эксплуатации, однако доступ к платформе является платным.
Другие компании, такие как Trend Micro и VulnCheck, также активно публикуют новые уязвимости, предлагая альтернативу NVD.
8 мая Агентство по кибербезопасности и инфраструктурной безопасности США ( CISA ) Для просмотра ссылки Войдиили Зарегистрируйся о запуске программы Vulnrichment для добавления метаданных к уязвимостям. MITRE, управляющая программой CVE, также Для просмотра ссылки Войди или Зарегистрируйся для организаций, присваивающих CVE.
Хотя текущие меры помогают сократить отставание в анализе уязвимостей, генеральный директор RiskHorizon.ai считает, что необходимы долгосрочные решения. Он предлагает автоматизировать процесс раскрытия уязвимостей, что, по его мнению, позволит эффективнее справляться с возникшей проблемой.
В крупнейшей в мире базе уязвимостей NVD , управляемой Национальным институтом стандартов и технологий США ( NIST ), недавно Для просмотра ссылки Войди
С середины февраля 2024 года в работе базы начали возникать проблемы с обработкой новых данных, а начиная с 9 мая сервис и вовсе перестал показывать новые уязвимости, что вызвало обеспокоенность среди исследователей кибербезопасности.
Все причастные специалисты из государственного и частного секторов делают всё возможное, чтобы внести в базу обширный бэклог , скопившийся за три месяца, и заполнить пробелы там, где это возможно.
С 12 февраля этого года NIST смог проанализировать и добавить в свою базу лишь 4524 из 14 286 уязвимостей. Всё это негативно влияет на осведомлённость команд безопасности и создаёт новые возможности для злоумышленников.
На недавней конференции RSA Эммануэль Чавойя, генеральный директор RiskHorizon.ai, заявил, что необработанные уязвимости уже активно эксплуатируются. Многие компании зависят от NVD для обновления и исправления программного обеспечения, поэтому остановка публикаций стала серьёзной проблемой.
Сотрудники из различных компаний и государственных учреждений подтвердили, что с 9 мая новые уязвимости не добавляются в базу через API. Представитель NIST объяснил, что проблемы были вызваны переходом на новый формат данных CVE — JSON. Обработка уязвимостей не прекращалась, но публичные публикации были приостановлены для обновления системы, которое завершилось лишь 14 мая.
В марте Таня Брюэр, менеджер программы NVD, объявила о создании консорциума для решения возникших проблем, но конкретные детали пока остаются неизвестными. В это время частные компании, такие как RiskHorizon.ai, запустили собственную платформу под названием «NVD Backlog Tracker» для отслеживания необработанных уязвимостей.
Компания RiskHorizon.ai заявила, что покрывает 85% необработанных уязвимостей, предоставляя данные об их критичности и активности эксплуатации, однако доступ к платформе является платным.
Другие компании, такие как Trend Micro и VulnCheck, также активно публикуют новые уязвимости, предлагая альтернативу NVD.
8 мая Агентство по кибербезопасности и инфраструктурной безопасности США ( CISA ) Для просмотра ссылки Войди
Хотя текущие меры помогают сократить отставание в анализе уязвимостей, генеральный директор RiskHorizon.ai считает, что необходимы долгосрочные решения. Он предлагает автоматизировать процесс раскрытия уязвимостей, что, по его мнению, позволит эффективнее справляться с возникшей проблемой.
- Источник новости
- www.securitylab.ru
