پاک‌سازی آسیب‌پذیری‌ها توسط مؤسسه ملی استانداردها و فناوری آمریکا

به گزارش کارگروه بین الملل خبرگزاری سایبربان، مؤسسه ملی استانداردها و فناوری (NIST) پس از آنکه مشخص شد در اوایل سال جاری هزاران آسیب‌پذیری بحرانی تحلیل یا تکمیل نشده‌اند، با واکنش‌های منفی مواجه شد.

این وضعیت پس از اعلام کاهش بودجه در فوریه ۲۰۲۴ به وجود آمد.

تکمیل اطلاعات به معنای افزودن داده‌های زمینه‌ای به یک ورودی در مورد یک آسیب‌پذیری در پایگاه ‌داده آسیب‌پذیری‌های ملی (NVD) است.

مؤسسه ملی استانداردها و فناوری در روز چهارشنبه اعلام کرد که با کمک آژانس امنیت سایبری و امنیت زیرساخت‌ها (CISA) و چندین شرکت بخش خصوصی، اکنون تیم کاملی از تحلیلگران را در اختیار دارد و تمام آسیب‌پذیری‌های ورودی را در هنگام بارگذاری در سیستم خود پردازش می‌کنند.

آن‌ها افزودند:

علاوه بر این، تمامی آسیب‌پذیری‌های بهره‌برداری‌شده شناخته‌شده (KEV) که در عقب‌مانده‌ها وجود داشتند، پردازش شده‌اند و تمامی آسیب‌پذیری‌های بهره‌برداری‌شده شناخته‌شده جدید را به محض دریافت پردازش خواهیم کرد.

تا تاریخ ۲۱ سپتامبر، محققان والن چک (VulnCheck) اعلام کردند که ۷۲.۴٪ از تمام آسیب‌پذیری‌ها؛ یعنی بیش از ۱۸ هزار مورد در پایگاه‌داده هنوز به‌طور کامل تحلیل نشده‌اند و ۴۶.۷٪ از تمام آسیب‌پذیری‌های بهره‌برداری‌شده همچنان تحلیل نشده‌اند.

با وجود پیشرفت قابل توجه مؤسسه ملی استانداردها و فناوری، این موسسه اعلام کرد که هدف قبلی خود برای پاک‌سازی کل عقب‌مانده آسیب‌پذیری‌های بهره‌برداری‌شده و غیر بهره‌برداری‌شده تا پایان سال محقق نخواهد شد.

آژانس امنیت سایبری و امنیت زیرساخت‌ها در اوایل سال جاری اولین ارائه‌دهنده داده مجاز (ADP) شد که به این آژانس اجازه می‌دهد اطلاعات مربوط به آسیب‌پذیری‌ها را به نمایندگی از مؤسسه ملی استانداردها و فناوری در سوابق آسیب‌پذیری‌ها وارد کند.

مؤسسه ملی استانداردها و فناوری اظهار کرد:

با این حال، ارزیابی اولیه ما از زمان پاک‌سازی عقب‌مانده‌ها خوش‌بینانه بود. این موضوع به این دلیل است که داده‌های آسیب‌پذیری‌های باقیمانده که از ارائه‌دهندگان داده مجاز دریافت می‌کنیم، به‌صورت فرمت‌هایی هستند که ما اکنون قادر به وارد کردن و تکمیل مؤثر آن‌ها نیستیم. برای حل این مشکل، ما در حال توسعه سیستم‌های جدیدی هستیم که به ما این امکان را می‌دهد تا داده‌های ارائه‌دهنده داده مجاز ورودی را به‌طور مؤثرتری پردازش کنیم.

مؤسسه ملی استانداردها و فناوری به درخواست‌ها برای اظهار نظر درباره اینکه آیا آژانس امنیت سایبری و امنیت زیرساخت‌ها تنها ارائه‌دهنده داده مجاز است پاسخ نداد.

در حال حاضر، تنها این سازمان به‌عنوان ارائه‌دهنده داده مجاز در وب‌سایت آسیب‌پذیری‌ها ذکر شده است.

ده‌ها کارشناس امنیت سایبری قبلاً در آوریل نامه‌ای خطاب به کنگره و وزیر بازرگانی، جینا ریموندو، امضا کرده و از آن‌ها خواسته بودند که بودجه و حفاظت از پایگاه‌ داده آسیب‌پذیری‌های ملی را تأمین کنند و آن را زیرساخت حیاتی برای انواع مختلف محصولات امنیت سایبری توصیف کرده بودند.

هر ورودی در پایگاه‌داده اطلاعاتی درباره شدت آسیب‌پذیری، محصولات تحت تأثیر آن و موارد دیگر، اطلاعاتی را اضافه می‌کند.

اوایل سال جاری، محققان دریافتند که از ۱۲,۷۲۰ آسیب‌پذیری جدید که از فوریه اضافه شده‌اند، ۱۱,۸۸۵ مورد تحلیل یا تکمیل با داده‌های بحرانی که به حرفه‌ای‌های امنیتی کمک می‌کند تا تشخیص دهند کدام نرم‌افزارها تحت تأثیر یک آسیب‌پذیری قرار گرفته‌اند، نشده‌اند.

راب جویس، مدیر امنیت سایبری پیشین آژانس امنیت ملی، در ماه می گفته بود که عقب‌ماندگی در این زمینه، یک خطر قابل توجه است و به این معناست که صنعت امنیت سایبری اکنون فاقد درک دقیقی از سطح حمله در حال تحول است.