NIST diz que o NVD estará de volta aos trilhos em setembro de 2024
O Instituto Nacional de Padrões e Tecnologia (NIST) concedeu um contrato para uma empresa/organização não identificada para ajudá-los a processar Vulnerabilidades e Exposições Comuns (CVEs) recebidas para inclusão no Banco de Dados Nacional de Vulnerabilidades (NVD), anunciou a agência na quarta-feira.
Eles também pretendem eliminar o acúmulo de CVEs não processados do NVD até o final do ano fiscal (ou seja, 30 de setembro).
Os problemas do NVD tornaram-se óbvios em fevereiro
O NVD começou a abrandar os seus esforços de enriquecimento de CVE no início deste ano, e o NIST confirmou que está a trabalhar numa solução multifacetada que incluirá ferramentas e métodos melhorados, bem como estabelecerá um consórcio que ajudará a enfrentar vários desafios.
Tanya Brewer, gerente de programa do NVD, disse em abril que o programa NVD está considerando muitas mudanças para melhorar a identificação de software, automatizar (algumas) atividades de análise de CVE, tornar os dados do NVD mais fáceis de “consumir” e personalizar, desenvolver capacidades para publicar informações adicionais tipos de dados (por exemplo, pontuações EPSS) e muito mais.
Algumas semanas depois, a Agência de Segurança Cibernética e de Infraestrutura (CISA) iniciou um programa de “vulnriquecimento” CVE , para ajudar a preencher a lacuna atual.
NIST trabalhando duro
Em 20 de maio, o NIST informou que o NVD começou a ingerir registros CVE 5.0 e CVE 5.1 para CVEs de hora em hora. Dez dias depois veio esta última e bem-vinda promessa: o NVD estará completamente de volta aos trilhos no final de setembro.
Uma notícia mais bem-vinda é que o NIST não planeja entregar as chuvas do NVD.
“Com um histórico de 25 anos fornecendo esse banco de dados de vulnerabilidades para usuários em todo o mundo e dado que não desempenhamos uma função de fiscalização ou supervisão, o NIST é especialmente adequado para gerenciar o NVD. O NIST está totalmente empenhado em manter e modernizar este importante recurso nacional que é vital para construir e manter a confiança na tecnologia da informação e promover a inovação”, afirmou a agência do Departamento de Comércio dos EUA .
“O NIST também está trabalhando em maneiras de lidar com o volume crescente de vulnerabilidades por meio de atualizações de tecnologia e processos. Nosso objetivo é construir um programa que seja sustentável no longo prazo e apoiar a automação do gerenciamento de vulnerabilidades, medição de segurança e conformidade.”
ATUALIZAÇÃO (31 de maio de 2024, 03h50 ET):
A Analygence, com sede em Maryland, é a empresa escolhida para ajudar o NIST a processar CVEs para inclusão no NVD, de acordo com a Recorded Future.
A empresa já recebeu contratos para apoiar a missão de segurança cibernética e privacidade do Laboratório de Tecnologia da Informação do NIST e da Subdivisão de Gerenciamento de Vulnerabilidade da CISA.
