bencede
New member
Meta veriler, güvenlik açıklarını analiz ederken ve daha ileri düzeyde işlerken son derece önemlidir. CVSS (Ortak Güvenlik Açığı Puanlama Sistemi) metodolojisinde 0 ile 10 arasında bir değer atanan önem düzeyinin yanı sıra, etkilenen ürün ve sürümlere ilişkin makine tarafından okunabilen bilgiler, güvenlik açığının türü ve yararlanılabilirliği ile yama durumu . önemli.
Duyuru
Güvenlik duvarları, Güvenlik Olayı ve Olay Yönetimi (SIEM) ve Genişletilmiş Tespit ve Yanıt (XDR) gibi tehdit önleme ve günlüğe kaydetme güvenlik ürünleri üreticileri, yeni tehditlere tepki vermek için zenginleştirilmiş güvenlik açığı verilerine hızla erişme yeteneğine güveniyor.
Bir ABD hükümet kuruluşu ve standartlar otoritesi NIST'in bir parçası olan NVD (Ulusal Güvenlik Açığı Veritabanı), CVE verilerinin zenginleştirilmesinden sorumludur. Ancak Şubat ortasından bu yana artık bu görevi üstlenmiyor; O zamandan bu yana, NVD ana sayfasında “analiz çabalarının geciktiğine” dair bir bildirim var.
Habercilik sizi özgür kılar mı? NVD gecikmeler hakkında bilgi verir ve kullanıcılardan sabırlı olmalarını ister
(Resim: Ekran Görüntüsü / Haberler Güvenliği)
Güvenlik açıklarının analizinin ve zenginleştirilmesinin geciktiği gerçeği çokça gözden kaçan bir gerçektir. 15 Şubat'tan bu yana yayınlanan 2.200'den fazla CVE ID güvenlik açığından yalnızca 59'una meta veri eklenmiş ve 2.152'si kullanılmıyor. CVE listesine her gün onlarca hatta yüzlerce yeni açık eklendiğinden, yetişmek zorlaşacaktır.
Sonuçta, CVSS değerlendirmesi genellikle bir güvenlik açığını kendileri bildiren kişiler tarafından gerçekleştirilir, dolayısıyla bu bilgi, NVD'deki iş kesintisine rağmen birçok CVE için mevcuttur.
Şubat ortasından bu yana NVD yalnızca bazı CVE kimliklerini meta verilerle zenginleştirdi.
(Resim: Çapa)
NVD, binlerce açık güvenlik açığını nasıl ele almayı planladığı ve daha da önemlisi çalışmalarına ne zaman devam edeceği konusunda şu anda sessiz.
ABD federal yetkilileri için NVD zorunludur
Bu durum özellikle siber güvenlik ürünlerini ABD hükümetine satmak isteyen şirketler için sıkıntı yaratıyor. Federal Risk ve Yetkilendirme Yönetimi Programı (FedRAMP) yönergelerinin en son sürümüne göre satıcıların, örneğin güvenlik açığı taramalarında güvenlik açıklarını tanımlamak için NVD verilerini kullanması gerekir. Spicy: Ulusal Güvenlik Açıkları Veritabanının yöneticisi olan NIST, FedRAMP yönergelerinin oluşturulmasında rol almaktadır.
CVE sistemi şu anda artan eleştiriler altındadır. cURL geliştiricisi Daniel Stenberg, atama uygulamasını defalarca eleştirdi ve veritabanı dolup taşıyor: 2023'te 25.000'den fazla yeni CVE kimliği atandı; bu, bir önceki yıla göre %15'lik bir artış.
(cku)
Haberin Sonu
Duyuru
Güvenlik duvarları, Güvenlik Olayı ve Olay Yönetimi (SIEM) ve Genişletilmiş Tespit ve Yanıt (XDR) gibi tehdit önleme ve günlüğe kaydetme güvenlik ürünleri üreticileri, yeni tehditlere tepki vermek için zenginleştirilmiş güvenlik açığı verilerine hızla erişme yeteneğine güveniyor.
Bir ABD hükümet kuruluşu ve standartlar otoritesi NIST'in bir parçası olan NVD (Ulusal Güvenlik Açığı Veritabanı), CVE verilerinin zenginleştirilmesinden sorumludur. Ancak Şubat ortasından bu yana artık bu görevi üstlenmiyor; O zamandan bu yana, NVD ana sayfasında “analiz çabalarının geciktiğine” dair bir bildirim var.
Habercilik sizi özgür kılar mı? NVD gecikmeler hakkında bilgi verir ve kullanıcılardan sabırlı olmalarını ister
(Resim: Ekran Görüntüsü / Haberler Güvenliği)
Güvenlik açıklarının analizinin ve zenginleştirilmesinin geciktiği gerçeği çokça gözden kaçan bir gerçektir. 15 Şubat'tan bu yana yayınlanan 2.200'den fazla CVE ID güvenlik açığından yalnızca 59'una meta veri eklenmiş ve 2.152'si kullanılmıyor. CVE listesine her gün onlarca hatta yüzlerce yeni açık eklendiğinden, yetişmek zorlaşacaktır.
Sonuçta, CVSS değerlendirmesi genellikle bir güvenlik açığını kendileri bildiren kişiler tarafından gerçekleştirilir, dolayısıyla bu bilgi, NVD'deki iş kesintisine rağmen birçok CVE için mevcuttur.
Şubat ortasından bu yana NVD yalnızca bazı CVE kimliklerini meta verilerle zenginleştirdi.
(Resim: Çapa)
NVD, binlerce açık güvenlik açığını nasıl ele almayı planladığı ve daha da önemlisi çalışmalarına ne zaman devam edeceği konusunda şu anda sessiz.
ABD federal yetkilileri için NVD zorunludur
Bu durum özellikle siber güvenlik ürünlerini ABD hükümetine satmak isteyen şirketler için sıkıntı yaratıyor. Federal Risk ve Yetkilendirme Yönetimi Programı (FedRAMP) yönergelerinin en son sürümüne göre satıcıların, örneğin güvenlik açığı taramalarında güvenlik açıklarını tanımlamak için NVD verilerini kullanması gerekir. Spicy: Ulusal Güvenlik Açıkları Veritabanının yöneticisi olan NIST, FedRAMP yönergelerinin oluşturulmasında rol almaktadır.
CVE sistemi şu anda artan eleştiriler altındadır. cURL geliştiricisi Daniel Stenberg, atama uygulamasını defalarca eleştirdi ve veritabanı dolup taşıyor: 2023'te 25.000'den fazla yeni CVE kimliği atandı; bu, bir önceki yıla göre %15'lik bir artış.
(cku)
Haberin Sonu