Profissionais de segurança cibernética pedem que o Congresso dos EUA ajude o NIST a restaurar a operação do NVD
Vozes na comunidade de gestão de vulnerabilidades alertaram que os problemas duradouros da Base de Dados Nacional de Vulnerabilidades (NVD) dos EUA poderiam levar a uma grande crise de segurança na cadeia de abastecimento.
Um grupo de 50 profissionais de segurança cibernética assinou uma carta aberta que foi enviada em 12 de abril à Secretária de Comércio dos EUA, Gina Raimondo, e a vários membros do Congresso dos EUA.
A carta é intitulada Uma crise de segurança cibernética à espera: Sobre a necessidade de restaurar e aprimorar as operações com o banco de dados nacional de vulnerabilidades.
No documento, os signatários instam o Congresso a investigar as questões em curso com o NVD, ajudar o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) a restaurar o enriquecimento de vulnerabilidade e apoiar o Instituto na modernização do programa NVD.
Consórcio NVD: a resposta do NIST ao backlog de vulnerabilidades
No início de março, pesquisadores de segurança notaram uma queda significativa nos uploads de dados de enriquecimento de vulnerabilidades no site do NVD. A queda começou em meados de fevereiro.
Embora as entradas de vulnerabilidade (conhecidas como Vulnerabilidades e Exposições Comuns, ou CVEs) continuassem a ser adicionadas ao banco de dados, muitas não foram totalmente analisadas.
Isto significou que metadados cruciais sobre CVEs, como as correspondentes Fraquezas e Exposições Comuns (CWEs), Enumeradores de Produtos Comuns (CPEs) e pontuações de criticidade (CVSS), não foram adicionados ao banco de dados.
De acordo com seus próprios dados , o NIST analisou apenas 4.398 dos 10.826 CVEs recebidos até agora neste ano.
Os problemas parecem advir da falta de recursos, incluindo financiamento e recursos humanos.
No final de março, o NIST lançou um consórcio industrial para apoiá-los na gestão e financiamento do programa NVD no futuro.
Priorize uma resposta de curto prazo
Os signatários da carta aberta argumentaram que a prioridade deveria ser resolver o atual atraso no NVD.
Como o NVD é o banco de dados de vulnerabilidades mais abrangente do mundo, muitas empresas dependem dele para implantar atualizações e patches.
Se esses problemas não forem resolvidos rapidamente, poderão impactar significativamente a comunidade de pesquisadores de segurança e as organizações em todo o mundo.
Os autores sugeriram que somente quando isso for feito o NIST e o Consórcio NVD deveriam se concentrar na reorganização das divulgações de vulnerabilidades e dos processos de gerenciamento dentro do programa NVD.
Por enquanto, os signatários instam o Congresso a apoiar o NIST em três ações imediatas:
- Investigue os problemas contínuos com o NVD
- Garanta que o NIST tenha os recursos necessários para restaurar as operações imediatamente
- Estabeleça as bases para melhorias críticas no serviço
Restaurando as operações do NVD: recomendações da indústria
Para atingir esses objetivos, os signatários sugeriram diversas recomendações, incluindo:
- Implementar processos provisórios para que o NVD atue como uma passagem de dados da Autoridade de Numeração CVE (CNA) sem reclassificar ou duplicar o trabalho dos programas CVE, exceto em casos de aparentes imprecisões nos dados fornecidos pelo CNA.
- Estabelecer um plano, com prazos e responsabilização claros, para melhorar os processos e operações do NVD e abrir o plano à contribuição das partes interessadas públicas e privadas com um período de comentários públicos.
- Investigue a falta de transparência do NIST em relação à regressão nas operações NVD de 15 de fevereiro a 25 de março.
- Considerar o estabelecimento de financiamento sustentado para fornecer recursos fiáveis para as operações diárias do NVD sem conflitos de interesses.
- Tratar o NVD como uma infra-estrutura crítica e garantir que o programa NVD continue a funcionar durante paralisações governamentais e outras perturbações que, de outra forma, impediriam os serviços críticos que presta.
- Mantenha o NVD independente . Embora a colaboração da indústria com o NIST e o NVD deva ser incentivada, uma única entidade deve possuir e operar o NVD, dado o seu papel crítico como fonte de verdade para o governo federal.
Os signatários da carta aberta são indivíduos que trabalham no cenário de segurança, incluindo gigantes da tecnologia como Google, organizações de código aberto como OpenSSF e fornecedores de segurança como Chainguard, VulnCheck e Okta.