NIST не справляется с лавиной уязвимостей: Конгресс США как последняя надежда

В Национальном институте стандартов и технологий (NIST) объяснили задержки в анализе уязвимостей увеличением объема программного обеспечения и изменениями в поддержке межведомственных программ.

Важным инструментом для специалистов в области кибербезопасности служит Национальная база данных уязвимостей (NVD), но с середины февраля организация столкнулась с проблемами обработки новых уязвимостей и удалением важных метаданных из базы данных. В NIST сообщили о планах создать консорциум для решения проблем программы NVD и разработки улучшенных инструментов и методов.

За 2024 год была проанализирована лишь половина из 8 785 представленных уязвимостей, причем в декабре анализу подверглись всего 199 из 3 370 представленных уязвимостей. Представитель NIST подтвердил нарастание очереди на анализ, объясняя это ростом количества ПО и уязвимостей, а также изменением межведомственной поддержки.

Существует предложение о создании внешнего консорциума для улучшения базы данных, о чем сообщила менеджер программы NVD Таня Брюэр на конференции VulnCon. Она упомянула десятки потенциальных улучшений и указала на то, что штат сотрудников NVD остается неизменным — 21 человек, в то время как количество представленных уязвимостей продолжает расти.

Десятки экспертов в области кибербезопасности подписали письмо Конгрессу и министру торговли США Джине Раймондо с призывом финансировать и защищать NVD, называя его «критически важной инфраструктурой для множества продуктов кибербезопасности». Подписанты выразили глубокую обеспокоенность потерей функциональности NVD и отсутствием прозрачного общения от NIST с сообществом кибербезопасности. Эксперты также отметили, что финансирование NVD недавно было сокращено на 20%.

В письме Конгрессу подчеркивается, что неудача в восстановлении работоспособности NVD угрожает безопасности всех, указывая на недавние инциденты, такие как кибератака на Change Healthcare, которая на несколько недель парализовала работу отрасли здравоохранения. Эксперты призывают к срочным действиям для решения проблем с NVD, чтобы обеспечить улучшение состояния кибербезопасности по всему миру.