Експерти предупреждават за големи проблеми в информационната сигурност(снимка: CC0 Public

Експерти предизвестяват за огромни проблеми в осведомителната сигурност
(снимка: CC0 Public Domain)

Най-големите в света бази данни за у язвимости в софтуера и услугите стопираха да се актуализират . Хакерите ликуват, а светът е на ръба на злополука в осведомителната сигурност, притесняват се експертите в бранша.

Повече от месец Националната база данни за уязвимости (NVD) на Съединени американски щати не се проучва, което се отразява на процеса на унищожаване на „ дупки ”. Същото се случва и с базата данни с добре познати уязвимости в осведомителната сигурност – CVE. Това носи риск от нови хакерски офанзиви – някои специалисти назовават ​​случващото се „ рецесия ”, други се притесняват от огромни проблеми в бранша на осведомителната сигурност.

Глобален проблем със сигурността

NVD спря работата си по събиране и анализиране на информация за уязвимости в софтуера и услугите. Това беше видяно за първи път от консуматор на портала Morphisec под псевдонима Брад Лапорт – той назова протичащото се „ рецесия ”.
още по темата
Оказва се, че NVD, като един от най-важните запаси в региона на осведомителната сигурност, съвсем не извършва главната си задача от 12 февруари 2024 година, т.е. повече от месец. Проблемът засегна и базата данни с общоизвестни уязвимости в осведомителната сигурност, известна като Common Vulnerabilities and Exposures (CVE). В нея всяка накърнимост получава неповторим идентификационен номер във формат „ CVE-година-номер ”, изложение и редица обществени връзки с изложение.

В резултат на прекъсването на NVD, в 42% от подадените CVE през последните седмици липсваха сериозни метаданни, в това число оценка за съвестност на уязвимостта (CVSS). Освен това няколко хиляди уязвимости към момента чакат разбор. Брад ЛаПорт пресмята, че към 11 март 2024 година описът на NVD съдържа повече от 2400 записа за уязвимости, които не съдържат спомагателна информация.

CVE и NVFD са най-големите бази данни за уязвимости в света. И основателно анализаторите се притесняват от необуздани хакерски офанзиви на фона на прекъсване на разбора на уязвимостите.

Въпроси без отговор

Базата на NVD се намира на портала на Националния институт за стандарти и технологии (NIST). Представители на института към момента не са коментирали протичащото се с базата. Всъщност NIST не даде съответни аргументи за прекъсване на разбора, намеквайки за усъвършенствания на процеса и цитирайки основаването на някакъв тип „ консорциум ”.

На уеб страницата на NVD беше оповестено следното известие: „ NIST сега работи за основаване на консорциум за справяне с проблемите в програмата NVD и създаване на усъвършенствани принадлежности и техники. По време на този преход ще видите краткотрайни забавяния в разбора на уязвимостта. Извиняваме се за неудобството и ви молим за самообладание, до момента в който работим за възстановяване на програмата NVD ”.

За какъв консорциум става въпрос, какво тъкмо ще прави в хода на „ решаването на проблемите на NVD ”, кой ще се причисли към него и при какви условия – всички тези въпроси остават без отговор.

Уебсайтът на CVE също се трансформира. Той ще отстрани изцяло остарелия дизайн до края на второто тримесечие на 2024 година, а новата версия ще включва следното уведомление: „ Програмата CVE си партнира с членове на общността по целия свят, с цел да създаде CVE наличие и да разшири потреблението му ” “ На уеб страницата няма детайлности за нуждата от тези промени.

Паника в експертната общественост

Спирането на работата на NVD има доста съществени последствия. Нараства суматохата в световната общественост на специалистите по ръководство на уязвимости. Всички са привикнали да употребяват обществено налично NVD наличие и одобряват актуализирането му за даденост. Оказа се, че всичко може да спре и в този момент експертите ще би трябвало сами да търсят техническите данни за всяка накърнимост.

NVD е значим източник, информацията в който е тествана и класифицирана от специалисти на NIST. Изчезването на подобен инструмент може да докара до съществени разстройства в работата на световната система за предизвестие за открити уязвимости.

В експертната общественост остава вярата, че казусът с NVD е краткотраен и ще бъде решен след реорганизацията въз основата. Ако това не се случи, следствията ще са непредсказуеми.