Національний інститут стандартів і технологій США (NIST) оголосив про зміну стратегії щодо збагачення даних у Національній базі вразливостей (NVD). Це рішення прийнято у відповідь на постійно зростаючий обсяг нових ідентифікаторів вразливостей (CVE), що надходять щодня. З метою оптимізації процесу та ресурсів, NIST відтепер надаватиме пріоритет збагаченню лише тих CVE, які відповідають двом ключовим критеріям:
- Вразливості, включені до каталогу CISA Known Exploited Vulnerabilities (KEV).
- Вразливості, що стосуються критичного програмного забезпечення.
Це означає, що CVE, які не відповідають цим специфічним критеріям, більше не будуть автоматично збагачуватися детальною інформацією в NVD. Раніше NVD прагнула надавати повне збагачення для більшості опублікованих CVE.
Збагачення NVD (NVD enrichment) — це процес додавання до базової інформації про CVE (ідентифікатор, короткий опис) розширених даних. Ці дані включають оцінки за системою Common Vulnerability Scoring System (CVSS), класифікацію за Common Weakness Enumeration (CWE), інформацію про потенційну експлуатацію, можливі рішення та загальний вплив на системи. Це збагачення є критично важливим для організацій, оскільки дозволяє їм ефективно оцінювати ризики та пріоритизувати усунення вразливостей.
CISA KEV (Known Exploited Vulnerabilities) — це каталог вразливостей, які, за даними Агентства з кібербезпеки та безпеки інфраструктури США (CISA), активно експлуатуються зловмисниками у реальних атаках. CISA вимагає від федеральних агентств США негайно усувати ці вразливості, підкреслюючи їх високий рівень загрози.
Під терміном "критичне програмне забезпечення" зазвичай розуміють ПЗ, яке має високий вплив на національну безпеку, економіку, критичну інфраструктуру або ключові державні та бізнес-функції. Рішення NIST означає, що для CVE, які не потрапляють до KEV або не пов'язані з критичним ПЗ, NVD надаватиме лише мінімальну інформацію (CVE ID, посилання на джерело, базовий опис), залишаючи організаціям необхідність самостійно шукати додаткові деталі для повноцінної оцінки ризиків.
Ця зміна має значний вплив на організації, які традиційно покладалися на NVD як основне або єдине джерело детальної інформації для своїх процесів управління вразливостями. Зокрема, це стосується:
- Компаній та державних установ, що використовують автоматизовані інструменти управління вразливостями, які інтегруються з NVD і очікують повного збагачення даних для всіх CVE.
- Організацій з обмеженими ресурсами для ручного аналізу та дослідження кожної вразливості.
- Будь-яких суб'єктів, які можуть пропустити критичні для їхнього унікального контексту вразливості, якщо вони не входять до CISA KEV або не класифіковані як "критичне ПЗ", але становлять значний ризик для їхньої інфраструктури.
Українські організації, особливо ті, що працюють в умовах обмежених ресурсів та високої кіберзагрози, повинні врахувати ці зміни, щоб не допустити прогалин у своїй системі кіберзахисту.
Щоб адаптуватися до нової політики NIST та підтримувати ефективне управління вразливостями, українським ІТ-фахівцям та організаціям рекомендується:
- Диверсифікувати джерела інформації: Не покладатися виключно на NVD. Активно використовувати інші джерела, такі як бюлетені безпеки від виробників ПЗ, бази даних вразливостей (наприклад, Exploit-DB, VulnDB), звіти розвідки загроз та інформацію від CERT-UA.
- Пріоритизація на основі власного ризику: Розробити та впровадити внутрішні критерії оцінки ризиків, які враховують специфіку вашої інфраструктури, бізнес-процесів та потенційний вплив вразливостей, а не лише зовнішні оцінки.
- Активне використання CISA KEV: Постійно моніторити та оперативно усувати вразливості, що входять до каталогу CISA KEV, оскільки вони є доведеними векторами атак.
- Інвестувати в інструменти та експертизу: Розглянути використання комерційних рішень для управління вразливостями (Vulnerability Management Platforms), які надають більш повне збагачення даних, аналітику та можливості автоматизації. Розвивати внутрішню експертизу для глибокого аналізу вразливостей.
- Регулярне оновлення та патчі: Підтримувати все програмне забезпечення та операційні системи в актуальному стані, застосовуючи патчі та оновлення одразу після їх випуску.