CISA inicia programa “VulnEnrichment” de CVE
A Agência de Infraestrutura e Cibersegurança dos EUA (CISA) anunciou a criação do “Vulnrichment”, um novo projeto que visa preencher a lacuna de enriquecimento CVE criada pela recente desaceleração do Banco Nacional de Vulnerabilidades do NIST.
NVD está falhando
Desde 1999, os analistas do NVD vêm adicionando vulnerabilidades numeradas CVE ao banco de dados, depois de analisar dados públicos sobre elas para “enriquecer” cada entrada com métricas de impacto ( CVSS ), tipos de vulnerabilidade ( CWE ), declarações de aplicabilidade ( CPE ), links para segurança conselhos e muito mais.
Este banco de dados é usado por muitas ferramentas de avaliação e gerenciamento de vulnerabilidades para automatizar a descoberta e o tratamento de vulnerabilidades de segurança que afetam os sistemas das organizações.
Deve-se notar, porém, que a maioria das ferramentas não depende apenas do NVD para fornecer esses dados. No entanto, o facto de os analistas do NIST terem conseguido analisar apenas 4.523 dos 14.280 CVE que receberam desde o início do ano é cada vez mais um problema.
Embora os analistas do NVD estejam priorizando a análise das vulnerabilidades mais significativas, o acúmulo está crescendo. O NIST afirma que uma série de factores estão por detrás deste abrandamento, “incluindo um aumento no software e, portanto, nas vulnerabilidades, bem como uma mudança no apoio interagências”.
A sua principal solução para o problema é estabelecer um consórcio entre a indústria, o governo e outras organizações interessadas que colaborarão na investigação para melhorar o NVD.
Como funcionará o Vulnrichment da CISA?
“O projeto CISA Vulnrichment é o repositório público do enriquecimento de registros CVE públicos da CISA por meio do contêiner ADP (Authorized Data Publisher) da CISA. Nesta fase do projeto, a CISA está avaliando CVEs novos e recentes e adicionando pontos-chave de decisão de SSVC”, explica a agência no repositório GitHub do projeto .
Até agora, a CISA enriqueceu 1.300 CVEs.
A CISA utiliza um modelo de árvore de decisão SSVC que visa colocar as vulnerabilidades numa de quatro categorias, com base no seu estado de exploração, impacto técnico, impacto nas funções essenciais da missão, impacto no bem-estar público e se a exploração pode ser automatizável:
1) Rastrear (“corrigir vulnerabilidades dentro dos cronogramas de atualização padrão”)
2) Rastrear* (“corrigir vulnerabilidades dentro dos cronogramas de atualização padrão”)
3) Participar (“corrigir vulnerabilidades antes dos cronogramas de atualização padrão”)
4) Agir (“corrigir vulnerabilidades assim que que possível”)
“Para aqueles CVEs classificados como ‘Impacto Técnico Total’, ‘Automatáveis’ ou com valores de ‘Exploração’ de ‘Prova de Conceito’ ou ‘Exploração Ativa’, análises adicionais serão conduzidas. A CISA determinará se há informações suficientes para afirmar um identificador CWE específico, uma pontuação CVSS ou uma string CPE”, observou a agência, e confirmou que não substituirá os dados do CNA de origem no registro CVE original das vulnerabilidades.
Para Vulnrichment, a CISA mantém o formato CVE JSON, “para que as partes interessadas possam começar imediatamente a incorporar essas atualizações nos processos de gerenciamento de vulnerabilidades”.
A agência está incentivando a comunidade profissional de segurança cibernética de TI a fornecer feedback sobre seus esforços e espera que o projeto evolua rapidamente.