El NIST acumula retrasos significativos en el análisis de CVEs
La comunidad está preocupada por el futuro de la base de datos de vulnerabilidades NVD que es clave para la ciberseguridad a nivel mundial
El Instituto Nacional de Estándares y Tecnología (NIST) ha actualizado un comunicado publicado en febrero respecto al programa NVD, encargado de mantener la base de datos nacional de vulnerabilidades.
En la versión inicial ya advertían de posibles retrasos en el análisis de nuevos CVEs. Ahora aclaran que esto es debido al gran incremento de problemas de seguridad que se reportan y ciertos cambios en el soporte que se prestan entre sí las agencias estadounidenses.
Mientras dan prioridad a la revisión de aquellas vulnerabilidades más relevantes, se está intentando el apoyo de otras entidades gubernamentales y asignando más personal del propio NIST a las tareas de análisis.
La solución a largo plazo parece pasar por establecer un consorcio público-privado que incremente los recursos del programa, cuyo personal no se ha visto incrementado desde sus inicios en 2005.
Tanya Brewer, directora del proyecto NVD, habló recientemente en la conferencia VulCon sobre los problemas que están afrontando y cómo buscan que este consorcio pueda, no sólo aliviarlos, sino ayudarles a implementar mejoras.
Entre los objetivos que se proponen están la automatización de algunos análisis, facilitar la personalización para albergar más casos de uso, desarrollar la capacidad de publicar tipos de datos adicionales y lidiar con la identificación de software de una forma que sea escalable con la complejidad.
En una carta abierta dirigida al Congreso de los Estados Unidos y la Secretaria de Comercio, Gina Raimondo, docenas de expertos en ciberseguridad piden que se revisen los fondos asignados al NIST para mantener y mejorar la base de datos de vulnerabilidades NVD.
Resaltan en ella lo crucial que resulta el programa en la postura de seguridad de organizaciones, no sólo a nivel de los Estados Unidos, sino mundial, y el impacto que podría tener sobre la infraestructura crítica su falta de mantenimiento, dificultando la labor de las herramientas de escaneo automático para detectar un posible ataque o brecha.
Aunque el papeleo inicial no está listo aún, Brewer estima que el consorcio debería comenzar su andadura en las próximas dos semanas.
Esperemos que así sea, se acaben los retrasos lo antes posible y podamos ver la implementación progresiva de las mejoras que se quieren incorporar al proyecto.
Fuentes y más información:
- https://therecord.media/vulnerability-database-backlog-nist-support
- https://nvd.nist.gov/general/news/nvd-program-transition-announcement
- https://cyberscoop.com/plan-to-resuscitate-beleaguered-vulnerability-database-draws-criticism/
- https://www.infosecurity-magazine.com/news/nist-unveils-new-nvd-consortium/
- https://docs.google.com/document/d/1y6JXhh52b1OMxLMQyl_WH0R2-85iYEBzjSm_fhv8-GY/
