NVD数据库缺少关键信息,影响网络安全
关键要点
超过2000个新加入的CVE条目缺少关键信息,影响安全运营。NIST未能及时提供详细说明,并表示正在组建联盟以解决此问题。年度CVE发布量持续增长,这对脆弱性管理工具产生了负面影响。最近,全球使用最广泛的脆弱性数据库国家脆弱性数据库NVD中,超过2000条新记录缺少保护网络安全所需的重要数据。这些缺失的信息对研究人员和安全团队理解安全漏洞至关重要。
NVD由美国国家标准与技术协会NIST于2005年建立,去年新增了超过29000个发现的漏洞信息。NIST的工作人员通过添加漏洞的基本描述、受影响软件、CVSS严重性评分、相关的通用弱点和枚举CWE以及通用平台枚举CPE等技术细节来“丰富”CVE条目。这些信息对安全操作至关重要,缺失将影响漏洞的修复和管理。
在该网站首页上发布的公告中提到,用户预计将在CVE分析发布上遇到临时延迟。
“NIST目前正在努力建立一个联盟,以解决NVD项目中面对的挑战,并开发改进的工具和方法,”消息中提到。“我们对给您带来的不便表示歉意,并希望您在我们改善NVD程序时能给予耐心。”
脆弱性报告增加,资金却减少
根据NetRise的数据,自2月12日以来加入数据库的CVE条目中,仅约8关联到CPE。根据Anchore的独立分析,超过2000个条目缺乏必要的丰富信息。
尽管NIST在其官网上发布了通知,但并未对此问题提供任何进一步的解释。然而,VulnCheck的安全研究员Patrick Garrity在LinkedIn上提到,NIST最近经历了十多年来的首次预算削减。
与此同时,全球每年发布的CVE数量几乎翻了一番,从2017年的不到15000个增加到2023年的超过29000个。相关数据显示这一快速增长对现有资源形成了压力。“人力分析是处理CVE的重要环节,而暂停可能是由于有限的资源来处理CVE数量的急剧增加,”Garrity说。
脆弱性管理工具依赖于NVD
Chainguard首席执行官Dan Lorenc强调新漏洞缺少CPE匹配对依赖NVD数据的组织而言是个主要问题。“扫描器、分析器以及大多数脆弱性工具都依赖NVD来设定这些字段,从而确定哪个软件受哪些漏洞影响。这是一个重大问题,而对这一问题缺乏明确说明让人担忧,”他说。
海鸥加速器最新版本Aquia总裁Chris Hughes也对NIST提供的详细信息不足表示担忧。他在社交媒体上表示:“这个联盟到底是什么,谁会参与进来,做出哪些改变,以及当行业面对脆弱性分析时会面临怎样的延迟?”
“我在职业生涯中遇到过很多问题,但从未见过‘一个联盟’真正帮助解决问题。缺乏透明度令人担忧。”
SANS科技研究所的网络安全趋势主管John Pescatore将网络安全与道路安全作了比较。“对于汽车‘脆弱性’召回等问题,汽车制造商必须通知国家公路交通安全管理局,并且需要维护一个易于使用的数据库。这些制造商还需要支付车辆的维修费用!NHTSA比NIST/NVD早建立了40年,但现在确实是立法把软件
