Η NIST ανακοίνωσε την Τετάρτη ότι θα λάβει εξωτερική βοήθεια για την αποκατάσταση της Εθνικής Βάσης Δεδομένων Ευπάθειας (NVD) εντός των επόμενων μηνών.
Ο οργανισμός ενημέρωσε την κοινότητα της κυβερνοασφάλειας τον Φεβρουάριο ότι θα πρέπει να αναμένει καθυστερήσεις στην ανάλυση των Αναγνωριστικών Κοινών Ευπαθειών και Εκθέσεων (CVE) στο NVD. Παράλληλα, ανέφερε ότι εργάζεται για τη δημιουργία μιας κοινοπραξίας με στόχο τη βελτίωση του προγράμματος.
Διαβάστε επίσης: Hackers χρησιμοποιούν νέες ευπάθειες σε WordPress plugins
Σε μια ενημέρωση που κοινοποιήθηκε τον Απρίλιο, το NIST παραδέχτηκε ότι υπήρχε ένα αυξανόμενο ανεκτέλεστο υπόλοιπο από ευπάθειες που είχαν υποβληθεί στο NVD και απαιτούσαν ανάλυση. Το πρόβλημα αποδόθηκε στην αύξηση του αριθμού των ευπαθειών καθώς και στη «μεταβολή σε διυπηρεσιακή υποστήριξη».
Αναζητώντας μακροπρόθεσμες λύσεις για αυτό το πρόβλημα, ο οργανισμός έχει θέσει ως προτεραιότητα την ανάλυση των πιο κρίσιμων ευπαθειών.
Στην τελευταία της ενημέρωση, που δημοσιεύτηκε στις 29 Μαΐου, η NIST ανακοίνωσε ότι έχει συνάψει σύμβαση για πρόσθετη υποστήριξη επεξεργασίας για το NVD. Το όνομα της εταιρείας που έλαβε το συμβόλαιο δεν αποκαλύφθηκε στην ανακοίνωση, αλλά η NIST ενημέρωσε το The Stack ότι θα είναι “Analygence”.
Είμαστε βέβαιοι ότι αυτή η πρόσθετη υποστήριξη θα μας επιτρέψει να επιστρέψουμε στα επίπεδα επεξεργασίας που είχαμε πριν τον Φεβρουάριο του 2024, μέσα στους επόμενους μήνες», δήλωσε η NIST.
Σχετικά με το μη επεξεργασμένο CVE, η NIST ανέφερε ότι συνεργάζεται με την υπηρεσία κυβερνοασφάλειας CISA για να προσθέσει μη επεξεργασμένες ευπάθειες στη βάση δεδομένων.
Ο οργανισμός αναμένεται να εκκαθαρίσει τις εκκρεμότητες μέχρι το τέλος του οικονομικού έτους, το οποίο λήγει στις 30 Σεπτεμβρίου.
Δείτε ακόμη: TP-Link: Κρίσιμη ευπάθεια στο gaming router Archer C5400X
Όπως αναφέρθηκε παραπάνω, η NIST εργάζεται για την αντιμετώπιση του αυξανόμενου αριθμού ευπαθειών μέσω τεχνολογικών ενημερώσεων και βελτίωσης διαδικασιών. Σύμφωνα με τη NIST, «Στόχος μας είναι η δημιουργία ενός βιώσιμου προγράμματος μακροπρόθεσμα που να υποστηρίζει την αυτοματοποίηση της διαχείρισης ευπαθειών, την αξιολόγηση της ασφάλειας και τη συμμόρφωση».
Μία πρόσφατη ανάλυση της εταιρείας διαχείρισης ευπάθειας VulnCheck αποκάλυψε ότι από τα 12.720 νέα ελαττώματα ασφαλείας στο NVD από τον Φεβρουάριο, τα 11.885 παραμένουν χωρίς ανάλυση ή εμπλουτισμό με κρίσιμα δεδομένα. Πάνω από τις μισές ευπάθειες, οι οποίες είναι γνωστό ότι έχουν χρησιμοποιηθεί σε επιθέσεις, δεν έχουν ακόμη αναλυθεί.
Δείτε περισσότερα: Slider Revolution: Δύο ευπάθειες βρέθηκαν στο WordPress plugin
Πρόσφατα, η CISA ανακοίνωσε την έναρξη ενός νέου έργου με την ονομασία Vulnrichment. Στόχος του έργου είναι η προσθήκη σημαντικών πληροφοριών στα αρχεία CVE, προκειμένου να βοηθήσει τους οργανισμούς να βελτιώσουν τις διαδικασίες διαχείρισης ευπαθειών τους.
Πηγή: securityweek
 εντός των επόμενων μηνών.){kind=link}