美国网络安全和基础设施安全局(CISA)5月8日宣布,正在启动一项名为“Vulnrichment”的新软件漏洞丰富计划。
近三个月前,由美国国家标准与技术研究院(NIST)运营的世界上最全面的漏洞数据库国家漏洞数据库(NVD)开始面临漏洞丰富的挑战。
根据其自己的数据,NIST仅分析了今年迄今为止收到的14,228 个常见漏洞和暴露(CVE)中的4523个。
CISA的“Vulnrichment”计划将侧重于向CVE添加元数据,包括通用平台枚举(CPE)编号、通用漏洞评分系统(CVSS)分数、通用弱点枚举(CWE)名称标签和已知利用的漏洞(KEV)条目。
CISA在社交媒体帖子中表示,这些元数据“对于帮助组织优先考虑修复、了解趋势并推动供应商解决漏洞类别至关重要”。
CISA表示,它最近丰富了1300个CVE,并将继续努力确保所有提交的 CVE都得到丰富。该机构已要求所有CVE编号机构(CNA)在首次向CVE.org提交时提供完整的CVE。
软件安全公司VulnCheck的安全研究员Patrick Garrity在RSA Conference 2024期间接受Infosecurity采访时赞扬了CISA的举措。
加里蒂说:“NIST继续过度承诺但兑现不足,让安全界对NVD的未来感到不确定。”
Aquia创始人、前CISA研究员Chris Hughes告诉Infosecurity,“Vulnrichment”计划是“CISA 与社区分享的绝佳资源”。
据悉,NVD已大大减缓了漏洞/CVE的丰富程度,导致社区难以正确定位漏洞并确定漏洞的优先级。
通过CISA提供此信息,超过1,000个漏洞现在有了额外的上下文,并且可以由组织正确确定优先级。
RiskHorizon.ai首席执行官兼创始人Immanuel Chavoya表示,Vulnrichment计划是朝着正确方向迈出的关键一步。
他警告说,真正的弹性在于在利用发生之前先发制人地丰富所有CVE。
发表评论
您还未登录,请先登录。
登录