NIST面临NVD数据分析不足的挑战

关键要点

NIST因缺乏“跨机构支持”导致数千项国家漏洞数据库NVD条目的分析不足。NVD是全球最广泛使用的漏洞数据库，至今未能及时更新新CVE常见漏洞和暴露的信息。NIST正在重新分配人员以处理CVE的积压，并寻求新的跨机构合作。一封公开信呼吁国会调查NVD的资金削减问题，以便确保其正常运作。

美国国家标准与技术研究院NIST近期表示，由于“跨机构支持”的减少，数千个条目的分析受到了影响。这一问题正值漏洞报告急剧增加的时刻。

作为全球最常用的漏洞数据库，NVD对网络安全起着至关重要的作用，但自2月中旬以来，NIST在更新新CVE条目的过程中进展缓慢。

NIST对新漏洞提供的重要补充数据为威胁分析人员提供了必要的背景信息，包括： 漏洞的基本描述 影响的软件 CVSS严重性得分 相关的通用弱点和枚举CWE 通用平台枚举CPE细节 补丁的可用性 相关资源的链接

加速器下载

根据NIST网站的数据，该机构上个月仅分析了3370个CVE中的199个。

人员调整以应对CVE积压

在发布一则简短通知说明其正在努力建立新的财团以改善NVD后，NIST并未提供对此前问题的详细公共解释。直到上周末发布的一份声明，才详细阐述了该情况。

声明指出，分析该漏洞的积压问题是由于“多种因素造成的，包括软件及漏洞数量的增加，以及跨机构支持的变化”。

NIST表示：“目前，我们优先分析最关键的漏洞。此外，我们正在与合作机构共同努力，增加对漏洞分析的支持，并重新分配了更多NIST人员来处理此工作。”

NIST的预算今年遭到近12的削减，但该机构表示，将继续支持和管理NVD，称其为“国家网络安全基础设施的关键组成部分”。

“我们还在寻找长期解决此挑战的方法，包括建立一个由行业、政府和其他利益相关者组织组成的财团，以协作研究改善NVD，”声明中提到。

“随着这些计划的发展，我们将提供更多信息。”

新NVD财团即将成立

一组网络安全专业人士向国会和商务部长吉娜雷蒙多签署了一封公开信，其中指出，当前的补充数据问题是由于NVD资金最近削减了20。

信中写道：“我们促请您迅速调查NVD当前的持续问题，以确保NIST获得必要的资源，不仅恢复此项关键服务的正常运作，还要进一步改善，以解决2024年2月服务下降之前存在的问题。”

信中还提到：“在我们和同事们致力于抵御日益严重的勒索软件威胁以及外国情报和军事组织对美国关键基础设施日益侵入的背景下，保护美国关键基础设施的人们却失去了一个重要的资源。”

与此同时，《信息安全杂志》报道称，NVD项目经理塔尼亚布鲁尔在上周的VulnCon会议上谈论了NIST建立NVD财团的计划。

“我们不会关闭NVD 我们正在解决当前的问题。之后，我们会让NVD变得更加健全并继续发展，”布鲁尔在北卡罗来纳州罗利的网络安全会议上表示。

“尽管官方文件尚未发布，NIST有意组建NVD财团，以使其在未来更加相关。该财团预计在两周内投入运作，”她说。