מה ניתן לעשות בנוגע למשבר מאגר המידע הלאומי הפגיעות? ISMS.online

מה ניתן לעשות בנוגע למשבר מאגר הפגיעות הלאומי?

מאת רנה מילמן • 11 יוני 2024

המכון הלאומי לתקנים וטכנולוגיה (NIST) נמצא במצוקה, ויש לו השלכות רציניות על צוותי אבטחת סייבר ברחבי העולם. מסד הנתונים הלאומי לפגיעות (NVD), המאגר הרצוי עבור פגיעויות וחשיפה נפוצות (CVEs), מתכווץ תחת משקלו של צבר חסר תקדים. נכון לאפריל, רק 4,000 מתוך כמעט 11,000 CVEs עובדו, מה שהותיר 7,000 נקודות תורפה מדהימות בלימבו. צבר זה הוא לא רק שיהוק קל - זה סיכון אבטחה בולט.

מול המשבר ההולך וגובר הזה, איך צוותי אבטחה יכולים להבטיח שהם יישארו לפני איומים פוטנציאליים?

מאמצי הקלה נוכחיים של NIST

ניצון זיו, מנכ"ל Ox Security, אומר זאת בבוטות.

"הצבר של CVEs לא מעובדים ב-NVD מהווה סיכונים משמעותיים עבור ארגונים, יצירת נקודות עיוורות פוטנציאליות ועיכוב תגובות לאיומים חדשים", הוא אומר ל-ISMS.online. "צבר זה מועיל לשחקנים זדוניים, ומגדיל את הסיכונים בשרשרת האספקה במגזרים קריטיים."

רוג'ר גריימס, אוונגליסט הגנה מונע נתונים ב- KnowBe4, מדגיש את היקף האתגר.

"בשנה שעברה, היו יותר מ-33,000 נקודות תורפה, לפי ה-NVD. זה גורם ליותר מ-90 פרצות תוכנה וקושחה חדשות בכל יום. תיעוד, אימות ודירוג האיומים הללו היא משימה עצומה", הוא אומר ל-ISMS.online.

גריימס מוסיף כי "33% מכל הפרצות הנתונים המוצלחות אפשריות רק בגלל פרצות תוכנה וקושחה שלא בוצעו".

NIST יזמה מספר צעדים שמטרתם למתן את הבעיה ולשפר את הפונקציונליות ארוכת הטווח של ה-NVD. מאמץ בולט אחד הוא היווצרות של קונסורציום NVD, שמטרתו להפגיש בין התעשייה, הממשלה ובעלי עניין אחרים כדי לנהל ולשפר את מסד הנתונים בשיתוף פעולה. קונסורציום זה צפוי לסייע בחלוקת עומס העבודה בצורה יעילה יותר ולשלב מומחיות רחבה יותר בתהליך ניתוח הפגיעות.

זיו של Ox Security מביע אופטימיות לגבי מאמצים אלו.

"היוזמה של NIST להקים קונסורציום חדש טומנת בחובה פוטנציאל משמעותי לשיפור ארוך טווח", הוא טוען. "אם ייושמו ביעילות, סביר להניח שתוכניות אלה יובילו לזמני עיבוד מהירים יותר, איכות נתונים משופרת ועדכונים בזמן יותר, מה שיועיל רבות לקהילת אבטחת הסייבר."

בנוסף, הסוכנות לאבטחת סייבר ותשתיות (CISA) הציגה תוכנית "פגיעות" שנועדה להעשיר נתוני CVE במידע מפורט יותר וניתן לפעולה. הוא שואף לשפר את האיכות והשימושיות של נתוני הפגיעות, מה שהופך אותם למועילים יותר עבור צוותי אבטחה. עם זאת, בעוד שהיוזמות הללו מבטיחות, הן אינן מספקות הקלה מיידית לארגונים הנאבקים כעת עם העומס.

למרות מאמצים אלה, ההשפעה המיידית של הצבר נותרה חשש קריטי. צוותי אבטחה חייבים לנווט את האתגר הזה על ידי מציאת דרכים חלופיות להישאר מעודכן לגבי נקודות תורפה חדשות, ולהבטיח שתהליכי ניהול התיקונים שלהם יישארו יעילים.

האתגר לצוותי האבטחה

הצבר ב-NVD מציב אתגרים משמעותיים עבור צוותי אבטחה, המסתמכים על נתוני CVE בזמן ומדויק כדי להגן על המערכות שלהם. ללא המידע העדכני ביותר מה-NVD, ייתכן שארגונים לא יהיו מודעים לנקודות תורפה שהתגלו לאחרונה, מה שמשאיר אותם חשופים להתקפות אפשריות. המצב בעייתי במיוחד עבור ארגונים קטנים יותר שחסרים להם משאבים לעקוב אחר נקודות תורפה באופן עצמאי על פני מספר מקורות.

"כששחקנים במדינות לאום וכנופיות תוכנות כופר מנצלות את העיכובים הללו, חיוני להבין את חומרת המצב ואת נוף האיומים המתמשך", מזהיר זיו.

צוותי אבטחה עומדים כעת בפני המשימה המפחידה של חיפוש ידני של מידע על פגיעות מספקים בודדים. גישה זו היא עתירת עבודה ונוטה לטעות, מכיוון שהיא דורשת ניטור מתמיד של מספר מקורות. בנוסף, היעדר ציוני חומרה סטנדרטיים עלול להוביל להערכת סיכון לא עקבית, מה שמסבך את תהליך קבלת ההחלטות לגבי אילו פגיעויות יש לתעדף לתיקון.

מומחים בתחום הדגישו את הצורך הקריטי במקור מרכזי ומהימן של מידע על פגיעות. ג'רי גמבלין, מהנדס איתור ותגובה ראשי של סיסקו לניהול פגיעות, הדגיש שלמרות שקיימים מקורות חלופיים כמו קטלוג ה-CISA Known Exploited Vulnerabilities (KEV), הם אינם מקיפים ומתמקדים בעיקר בפגיעויות שכבר מנוצלות באופן פעיל.

אסטרטגיות הפחתה עבור צוותי אבטחה

כדי למתן את ההשפעה של צבר ה-NVD, צוותי אבטחה יכולים לאמץ מספר אסטרטגיות:

מסדי נתונים חלופיים: השתמש במקורות אמינים אחרים של מידע CVE. קטלוג KEV של CISA, למרות שאינו מקיף, יכול לספק תובנות קריטיות לגבי נקודות תורפה שנוצלו באופן פעיל.

כלים אוטומטיים: הטמע כלים אוטומטיים לניהול פגיעות שיכולים לסרוק פרצות ולספק עדכונים בזמן אמת. כלים אלה יכולים לעזור לגשר על הפער שהותיר ה-NVD על ידי מתן יכולות ניטור והתראה מתמשכות. זיו ממליצה על כלים אוטומטיים כמו ניהול נקודות תורפה וניהול עמידה באבטחת אפליקציות (ASPM).

שירותי מודיעין איומים: הירשם לשירותי מודיעין איומים המספקים מידע על פגיעות בזמן ואצור. שירותים אלה מציעים לרוב נתונים הקשריים יותר, ועוזרים לצוותי אבטחה להבין את הרלוונטיות וההשפעה הפוטנציאלית של פגיעויות ספציפיות על המערכות שלהם.

שיתוף פעולה קהילתי: צור קשר עם קהילות ופורומים של אבטחת סייבר שבהם אנשי מקצוע חולקים תובנות ועדכונים על נקודות התורפה האחרונות. פלטפורמות שיתופיות יכולות להיות משאב רב ערך לשמירה על מידע ולהחלפת שיטות עבודה מומלצות.

התאמה לעומס יתר של CVE

בעוד שהיוזמות של NIST, כמו הקמת קונסורציום והכנסת תוכנית הפגיעות, מבטיחות שיפורים עתידיים, הן מציעות מעט הקלה מיידית.

לכן, צוותי אבטחה חייבים לנקוט בצעדים יזומים כדי לצמצם את ההשפעה של צבר זה. על ידי מינוף מסדי נתונים אלטרנטיביים כמו KEV של CISA, אימוץ כלים אוטומטיים לניהול פגיעות, הרשמה לשירותי מודיעין איומים בזמן אמת ויצירת קשר עם קהילות אבטחת סייבר, הם יכולים למלא את הפער שהותיר ה-NVD. אסטרטגיות אלו לא רק מסייעות בשמירה על תוכנית יעילה לניהול תיקונים אלא גם מבטיחות תנוחת אבטחה מרובדת וגמישה.

צבר ה-NVD הוא תזכורת מוחלטת לחשיבות הגמישות בפרקטיקות של אבטחת סייבר. לנוכח המצוקה, המומחיות והתושייה הקולקטיבית של קהילת אבטחת הסייבר נותרה הנכס הגדול ביותר שלה. על ידי עבודה משותפת ושיתוף ידע, הוא יכול להתגבר על האתגרים שנוצרו בעקבות צבר ה-NVD ולהתחיל לבנות עולם דיגיטלי מאובטח יותר.

רנה מילמן

רנה מילמן היא סופרת ושדרנית עצמאית רב-תכליתית המתמחה בטכנולוגיות אבטחת סייבר, AI, IoT וענן. לצד תפקידו כאנליסט תורם ב-GigaOm, הוא מביא ניסיון רב כאנליסט לשעבר של גרטנר המתמקד בשוק התשתיות. רנה מילמן, הידוע במומחיותו, הופיע תכופות בטלוויזיה, שיתף תובנות וניתוח על מגמות טכנולוגיות וחברות משפיעות שמעצבות את חיי היומיום שלנו. הישאר מעודכן בתובנות של רנה מילמן על ידי מעקב אחריו בטוויטר.