¿Qué se puede hacer ante la crisis de la base de datos nacional de vulnerabilidades?
Tabla de contenido:
El Instituto Nacional de Estándares y Tecnología (NIST) se encuentra en un aprieto que tiene serias implicaciones para los equipos de ciberseguridad en todo el mundo. La Base de Datos Nacional de Vulnerabilidad (NVD), el repositorio de referencia para vulnerabilidades y exposiciones comunes (CVE), está colapsando bajo el peso de un trabajo atrasado sin precedentes. Hasta abril, sólo se habían procesado 4,000 de casi 11,000 CVE, lo que dejaba la asombrosa cifra de 7,000 vulnerabilidades en el limbo. Este retraso no es sólo un problema menor: es un riesgo de seguridad evidente.
Ante esta crisis creciente, ¿cómo pueden los equipos de seguridad garantizar que se adelantan a las amenazas potenciales?
Esfuerzos de mitigación actuales del NIST
Neatsun Ziv, director ejecutivo de Ox Security, lo expresa sin rodeos.
"La acumulación de CVE sin procesar en el NVD plantea riesgos importantes para las organizaciones, creando posibles puntos ciegos y retrasando las respuestas a nuevas amenazas", le dice a ISMS.online. "Este retraso beneficia a los actores maliciosos, aumentando los riesgos de la cadena de suministro en sectores críticos".
Roger Grimes, evangelista de defensa basado en datos de KnowBe4, subraya la magnitud del desafío.
“El año pasado hubo más de 33,000 vulnerabilidades, según el NVD. Esto equivale a más de 90 nuevas vulnerabilidades de software y firmware cada día. Documentar, verificar y clasificar estas amenazas es una tarea inmensa”, dice a ISMS.online.
Grimes añade que "el 33% de todas las filtraciones de datos exitosas sólo son posibles debido a vulnerabilidades de software y firmware sin parches".
El NIST ha iniciado varias medidas destinadas a mitigar el problema y mejorar la funcionalidad a largo plazo del NVD. Un esfuerzo notable es la formación de una Consorcio NVD, cuyo objetivo es reunir a la industria, el gobierno y otras partes interesadas para gestionar y mejorar la base de datos de forma colaborativa. Se espera que este consorcio ayude a distribuir la carga de trabajo de manera más efectiva e integre una experiencia más amplia en el proceso de análisis de vulnerabilidad.
Ziv de Ox Security expresa optimismo sobre estos esfuerzos.
"La iniciativa del NIST de formar un nuevo consorcio tiene un potencial significativo para la mejora a largo plazo", argumenta. "Si se implementan de manera efectiva, estos programas probablemente conducirán a tiempos de procesamiento más rápidos, una mejor calidad de los datos y actualizaciones más oportunas, lo que beneficiará enormemente a la comunidad de ciberseguridad".
Además, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha introducido un programa de "vulneración" diseñado para enriquecer los datos CVE con información más detallada y procesable. Busca mejorar la calidad y usabilidad de los datos de vulnerabilidad, haciéndolos más beneficiosos para los equipos de seguridad. Sin embargo, si bien estas iniciativas son prometedoras, no brindan un alivio inmediato a las organizaciones que actualmente luchan con el trabajo atrasado.
A pesar de estos esfuerzos, el impacto inmediato del atraso sigue siendo una preocupación crítica. Los equipos de seguridad deben afrontar este desafío encontrando formas alternativas de mantenerse informados sobre nuevas vulnerabilidades y garantizando que sus procesos de gestión de parches sigan siendo eficaces.
El desafío para los equipos de seguridad
El retraso en el NVD plantea desafíos importantes para los equipos de seguridad, que dependen de datos CVE precisos y oportunos para proteger sus sistemas. Sin la información más actualizada del NVD, es posible que las organizaciones no estén al tanto de las vulnerabilidades recién descubiertas, dejándolas expuestas a posibles ataques. La situación es particularmente problemática para las organizaciones más pequeñas que carecen de recursos para rastrear vulnerabilidades de forma independiente en múltiples fuentes.
"A medida que los actores de los estados-nación y las bandas de ransomware explotan estos retrasos, es crucial comprender la gravedad de la situación y el panorama de amenazas persistentes", advierte Ziv.
Los equipos de seguridad ahora enfrentan la difícil tarea de buscar manualmente información sobre vulnerabilidades de proveedores individuales. Este enfoque requiere mucha mano de obra y es propenso a errores, ya que requiere un seguimiento constante de múltiples fuentes. Además, la falta de puntuaciones de gravedad estandarizadas puede llevar a una evaluación inconsistente del riesgo, lo que complica el proceso de toma de decisiones sobre qué vulnerabilidades priorizar para parchear.
Los expertos en el campo han destacado la necesidad crítica de una fuente centralizada y confiable de información sobre vulnerabilidades. Jerry Gamblin, ingeniero principal de respuesta y detección de amenazas de Cisco Vulnerability Management, destacó que si bien existen fuentes alternativas como el catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA, no son exhaustivas y se centran principalmente en vulnerabilidades que ya están siendo explotadas activamente.
Estrategias de mitigación para equipos de seguridad
Para mitigar el impacto del trabajo pendiente de NVD, los equipos de seguridad pueden adoptar varias estrategias:
Bases de datos alternativas: Utilice otras fuentes confiables de información CVE. El catálogo KEV de CISA, aunque no es completo, puede proporcionar información crítica sobre las vulnerabilidades explotadas activamente.
Herramientas automatizadas: Implemente herramientas automatizadas de gestión de vulnerabilidades que puedan buscar vulnerabilidades y proporcionar actualizaciones en tiempo real. Estas herramientas pueden ayudar a cerrar la brecha dejada por NVD al ofrecer capacidades de alerta y monitoreo continuo. Ziv recomienda herramientas automatizadas como la gestión de vulnerabilidades y la gestión de la postura de seguridad de las aplicaciones (ASPM).
Servicios de inteligencia de amenazas: Suscríbase a servicios de inteligencia sobre amenazas que brinden información sobre vulnerabilidades oportuna y seleccionada. Estos servicios suelen ofrecer datos más contextuales, lo que ayuda a los equipos de seguridad a comprender la relevancia y el impacto potencial de vulnerabilidades específicas en sus sistemas.
Colaboración comunitaria: Participe en comunidades y foros de ciberseguridad donde los profesionales comparten ideas y actualizaciones sobre las últimas vulnerabilidades. Las plataformas colaborativas pueden ser un recurso valioso para mantenerse informado e intercambiar mejores prácticas.
Adaptación a la sobrecarga CVE
Si bien las iniciativas del NIST, como la formación de un consorcio y la introducción del programa de enriquecimiento, prometen mejoras futuras, ofrecen poco alivio inmediato.
Por lo tanto, los equipos de seguridad deben tomar medidas proactivas para mitigar el impacto de este retraso. Aprovechando bases de datos alternativas como KEV de CISA, adoptando herramientas automatizadas de gestión de vulnerabilidades, suscribiéndose a servicios de inteligencia de amenazas en tiempo real e interactuando con comunidades de ciberseguridad, pueden llenar el vacío dejado por NVD. Estas estrategias no solo ayudan a mantener un programa de gestión de parches eficaz, sino que también garantizan una postura de seguridad resistente y en capas.
El retraso en NVD es un claro recordatorio de la importancia de la flexibilidad en las prácticas de ciberseguridad. Frente a la adversidad, la experiencia y el ingenio colectivos de la comunidad de ciberseguridad siguen siendo sus mayores activos. Al trabajar juntos y compartir conocimientos, se pueden superar los desafíos creados por el retraso en NVD y comenzar a construir un mundo digital más seguro.
