美国国家标准与技术研究院 (NIST) 正式宣布将把世界上使用最广泛的软件漏洞存储库的部分管理工作移交给行业联盟。
NIST 是美国商务部的一个机构,于 2005 年推出了美国国家漏洞数据库 (NVD) 并一直运营至今。
这种情况预计会发生变化,数据库最早从 2024 年 4 月开始将交由经过审查的组织集体管理。
NVD 项目经理 Tanya Brewer 在VulnCon 会议上正式宣布了这一消息。VulnCon 是由事件响应和安全团队论坛 (FIRST) 主办、于 2024 年 3 月 25 日至 27 日在北卡罗来纳州罗利举行的网络安全会议。
这一消息是在人们对 NVD 可能关闭的猜测数周之后发布的。
NIST 于 2024 年 2 月停止 CVE 收集
3 月初,许多安全研究人员注意到 NVD 网站上自 2 月中旬开始上传的漏洞丰富数据大幅下降。
根据其自己的数据,NIST 在 3 月份迄今为止收到的 2957 个常见漏洞和暴露 (CVE) 中仅分析了 199 个。
自 2 月中旬以来,总共有 4000 多个 CVE 尚未得到分析。
由于 NVD 是世界上最全面的漏洞数据库,许多公司依靠它来部署更新和补丁。
如果此类问题不能迅速解决,可能会对全球安全研究人员社区和组织产生重大影响。
固件安全提供商 NetRise 首席执行官 Tom Pace 在接受Infosecurity 采访时 解释道:“这意味着你要要求整个网络安全社区在一夜之间以某种方式找出设备、操作系统、软件包、应用程序、固件中存在哪些漏洞。这是一项完全不可能完成的任务!”
软件安全提供商 Chainguard 的联合创始人兼首席执行官 Dan Lorenc 称该事件是一个“大问题”。
“我们现在依靠行业警报和社交媒体来确保我们尽快对 CVE 进行分类,”他告诉Infosecurity。
“扫描仪、分析器和大多数漏洞工具都依赖 NVD 来确定哪些软件受到哪些漏洞的影响,”Lorenc 补充道。 “如果组织无法有效地对漏洞进行分类,就会面临更大的风险,并在漏洞管理方面留下重大差距。”
为了在 NVD 积压的情况下保持运营,VulnCheck、Anchore 和 RiskHorizon AI 等多家安全公司开始开展项目,为 NVD 传统上提供的漏洞披露的某些部分提供替代方案。
这一事件恰逢联邦风险和授权管理计划 (FedRAMP Rev. 5) 最新修订版的发布,这是一项美国联邦法律,要求任何想要与联邦政府开展业务的公司使用 NVD 作为事实来源并修复其中所有已知的漏洞。
NVD 内部的挑战引发了一场“完美风暴”
在 NIST 发表声明之前,对正在发生的事情的猜测包括:
- NIST 内部的预算问题,立法者最近批准了NIST 本财年 14.6 亿美元的预算,比上一年减少了近 12%
- 与承包商的终止合同,可能是亨廷顿英格尔斯工业公司(Huntington Ingalls Industries)——一家在 NVD 上与 NIST 公开合作的造船承包商
- 内部讨论更换 NVD 使用的一些漏洞标准,例如充当 IT 产品指纹的通用产品枚举器 (CPE),用于清楚地识别软件、硬件和系统
- 内部讨论开始采用软件包 URL (PURL),这是一种列出软件包通用地址的新标准
在 VulnCon 上,Brewer 并没有深入探讨 NVD 问题的原因,他表示,“虽然背后有一个故事,但它又长又复杂,而且非常行政化。”
书面声明将于 3 月 29 日在 NVD 网站上发布。
她补充说,一些挑战导致 NVD 项目迎来了“这场完美风暴”。
“2023 年 5 月,我发现我们需要以不同的方式做事,并开始以不同的方式与行业合作。从那时起我们就一直致力于此。不幸的是,我们遇到了完美的风暴,但没有按照我们想要的速度完成任务。”
她表示,NIST 正在积极重新分配人员,并加强与其他政府机构在 NVD 项目上的合作。
“我们不会关闭 NVD;我们正在解决当前的问题。然后,我们将让 NVD 再次强大起来,并使其成长,”她坚持说。
NIST 提供有关即将成立的 NVD 联盟的详细信息
2 月 15 日,NVD 网站宣布,NIST“目前正在努力建立一个联盟,以应对 NVD 计划中的挑战并开发改进的工具和方法。”
Brewer 在 VulnCon 上证实了这一点。
“虽然官方文件尚未出来,但 NIST 有意组建 NVD 联盟,以使 NVD 在未来更具相关性。它应该在两周内投入运行,”她解释道。
NVD 联盟将帮助 NIST 提供资金并提供有关未来发展的反馈。
同样出席 VulnCon 的技术合作办公室 (TPO) 联盟协议官员 J’aime Maynard 提供了有关谁可以加入 NVD 联盟以及如何加入的信息。
综上所述,候选者必须是组织,与NIST签署相同的合作研究与开发协议(CRADA)并接受相同的条件和风险。正在考虑收取会员费。
被禁止签署 CRADA 的实体可以根据替代的适当协议被允许参与联盟。
每位成员将在指导委员会中拥有一个席位。该联盟将分为不同的工作组。
NIST 将发布联邦公报通知,详细说明 NVD 联盟的主要目标、如何申请以及 NIST 的相关联系点。
同时,感兴趣的各方可以联系以下电子邮件地址:nvd_consortium@nist.gov。
NVD 的一到五年计划
布鲁尔表示,一旦 NVD 启动并运行,该计划将考虑在未来一到五年内改进其流程的新方法,特别是在软件识别方面。
其中一些想法包括:
- 让更多合作伙伴参与:能够让外部各方以可扩展的方式向 CPE 词典提交 CPE 数据,以适应不断增长的 IT 产品数量
- 软件识别改进:以随着复杂性不断增加而扩展的方式处理 NVD 中的软件识别(考虑采用 PURLS)
- 新数据类型:开发向 NVD 发布其他类型数据的功能(例如来自 EPSS、NIST Bugs Framework)
- 新用例:开发一种方法,使 NVD 数据更易于使用,并且更适合目标用例(例如,在发布 CVE 时从 NVD 获取电子邮件警报)
- CVE JSON 5.0:扩展 NVD 的功能以利用 CVE JSON 5.0 中提供的新数据点
- 自动化:开发一种方法来自动化至少一些 CVE 分析活动
“我们希望不再需要任何人类分析来富集 CVE。人工智能的最新发展可能会有所帮助,”布鲁尔坚持认为。
一些“迟来的清晰”
在 VulnCon 之前,许多漏洞研究人员批评 NIST 决定保留其在会议上的第一份公开声明。
洛伦克在 Aquia 总裁 Chris Hughes 主持的 LinkedIn 视频播客 Resilient Cyber 中的评论就说明了这一点。 “你在一次会议上宣布了一款华丽的新产品,却没有向世界通报像 NVD 这样重要的事情的最新进展,”洛伦茨说。
然而,Brewer 的会议确实回答了漏洞研究人员过去一个月向 NIST 提出的许多问题。
Aquia 的 Hughes在接受Infosecurity采访时评论道:“这些评论提供了业界一直要求的一些迟来的清晰信息。即将推出的协作方法应该会带来新的支持和参与,并有助于解决长期存在的问题,例如 NVD 对 PURL 的支持,这有助于解决 NVD 目前在开源生态系统和软件供应链安全方面面临的挑战。
“大家一致认为,这种短暂的中断将有助于通过联盟推动更广泛的行业合作,并解决 NVD 及其运营和功能方面长期存在的挑战。”
VulnCheck 安全研究员 Patrick Garrity 对此表示同意。
“NIST NVD 出席会议向社区保证了 NIST NVD 正在积极努力解决当前处理 CVE 方面的差距。虽然没有明确的解决时间表,但显然他们正在努力寻找解决方案,并强调通过新联盟与社区进行合作,”他说。
然而,一些声音仍然对布鲁尔的 VulnCon 演讲持批评态度。 OWASP SBOM论坛联合负责人 Tom Alrich 在 3 月 28 日在 EnergyCentral 网站的数字公用事业组论坛上发表的一篇文章中表示,他对 Brewer 没有解决 NVD 计划所遇到问题的本质感到遗憾。
发表评论
您还未登录,请先登录。
登录