Ya es oficial: el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. entregará algunos aspectos de la gestión del repositorio de vulnerabilidades de software más utilizado del mundo a un consorcio industrial.
El NIST, una agencia del Departamento de Comercio de EE. UU., lanzó la Base de Datos Nacional de Vulnerabilidad (NVD) de EE. UU. en 2005 y la ha operado desde entonces.
Se esperaba que esta situación cambiara y la base de datos estuviera en manos colectivas de organizaciones examinadas desde principios de abril de 2024.
La directora del programa NVD, Tanya Brewer, hizo el anuncio oficial durante VulnCon, una conferencia de ciberseguridad organizada por el Foro de Equipos de Seguridad y Respuesta a Incidentes (FIRST) y celebrada en Raleigh, Carolina del Norte, del 25 al 27 de marzo de 2024.
La noticia llegó después de semanas de especulaciones sobre un posible cierre del NVD.
NIST detuvo el enriquecimiento de CVE en febrero de 2024
A principios de marzo, muchos investigadores de seguridad notaron una caída significativa en las cargas de datos de enriquecimiento de vulnerabilidades en el sitio web de NVD que había comenzado a mediados de febrero.
Según sus propios datos, el NIST ha analizado sólo 199 vulnerabilidades y exposiciones comunes (CVE) de las 2957 que ha recibido hasta ahora en marzo.
En total, más de 4.000 CVE no han sido analizados desde mediados de febrero.
Dado que NVD es la base de datos de vulnerabilidades más completa del mundo, muchas empresas confían en ella para implementar actualizaciones y parches.
Si estos problemas no se resuelven rápidamente, podrían afectar significativamente a la comunidad de investigadores de seguridad y a las organizaciones de todo el mundo.
Hablando a infoseguridad, Tom Pace, director ejecutivo del proveedor de seguridad de firmware NetRise, explicó: “Significa que le estás pidiendo a toda la comunidad de ciberseguridad, de la noche a la mañana, que de alguna manera averigüe qué vulnerabilidad hay en qué sistema operativo, paquete de software, aplicación, firmware o dispositivo. ¡Es una tarea totalmente imposible e insostenible!”
Dan Lorenc, cofundador y director ejecutivo del proveedor de seguridad de software Chainguard, calificó el incidente como un “problema enorme”.
“Ahora confiamos en las alertas de la industria y las redes sociales para asegurarnos de clasificar los CVE lo más rápido posible”, dijo. Infoseguridad.
“Los escáneres, analizadores y la mayoría de las herramientas de vulnerabilidad dependen del NVD para determinar qué software se ve afectado por qué vulnerabilidades”, añadió Lorenc. “Si las organizaciones no pueden clasificar las vulnerabilidades de manera efectiva, se exponen a un mayor riesgo y deja una brecha significativa en su postura de gestión de vulnerabilidades”.
Para mantenerse operativos en medio del retraso en el NVD, varias empresas de seguridad, como VulnCheck, Anchore y RiskHorizon AI, comenzaron a trabajar en proyectos que podrían proporcionar una alternativa a algunas partes de la divulgación de vulnerabilidades que tradicionalmente se proporcionan en el NVD.
Este episodio coincidió con el lanzamiento de la última revisión del Programa Federal de Gestión de Autorizaciones y Riesgos (FedRAMP Rev. 5), una ley federal de EE. UU. que exige que cualquier empresa que quiera hacer negocios con el gobierno federal utilice el NVD como fuente de verdad. y remediar todas las vulnerabilidades conocidas en su interior.
Los desafíos dentro del NVD llevaron a una “tormenta perfecta”
Antes de la declaración del NIST, las especulaciones sobre lo que estaba sucediendo incluían:
- Problemas presupuestarios dentro del NIST, ya que los legisladores aprobaron recientemente un presupuesto de 1.460 millones de dólares para el NIST para el año fiscal actual, una disminución de casi el 12 % con respecto al año anterior.
- Un contrato final con un contratista, posiblemente Huntington Ingalls Industries, un contratista de construcción naval que trabaja públicamente con el NIST en el NVD.
- Discusiones internas para reemplazar algunos estándares de vulnerabilidad utilizados por NVD, como los enumeradores comunes de productos (CPE) que actúan como huellas digitales para productos de TI, utilizados para identificar claramente software, hardware y sistemas.
- Discusiones internas para comenzar a adoptar URL de paquetes (PURL), un nuevo estándar que enumera direcciones universales para paquetes de software
En VulnCon, Brewer no profundizó mucho en el motivo del problema de NVD y dijo: “Aunque hay una historia detrás de esto, es larga, complicada y muy administrativa”.
Se publicará una declaración escrita en el sitio web de NVD antes del 29 de marzo.
Añadió que algunos desafíos llevaron al programa NVD a “esta tormenta perfecta”.
“En mayo de 2023, vi que necesitábamos hacer las cosas de manera diferente y empezar a trabajar de manera diferente con la industria. Hemos estado trabajando en eso desde entonces. Desafortunadamente, tuvimos nuestra tormenta perfecta y no lo logramos tan rápido como queríamos”.
Dijo que el NIST está reasignando personal activamente y aumentando su colaboración con otras agencias gubernamentales en el programa NVD.
Dijo que los datos sobre el enriquecimiento deberían comenzar a fluir nuevamente dentro de unas pocas semanas.
“No vamos a cerrar el NVD; Estamos en el proceso de solucionar el problema actual. Y luego vamos a fortalecer nuevamente el NVD y lo haremos crecer”, insistió.
NIST proporciona detalles sobre un próximo consorcio NVD
El 15 de febrero, el sitio web de NVD anunció que el NIST “está trabajando actualmente para establecer un consorcio para abordar los desafíos en el programa NVD y desarrollar herramientas y métodos mejorados”.
Esto fue confirmado por Brewer en VulnCon.
“Aunque la documentación oficial aún no está disponible, el NIST tiene toda la intención de formar el Consorcio NVD para que el NVD sea más relevante en el futuro. Debería estar operativo en dos semanas”, explicó.
El Consorcio NVD ayudará al NIST con financiación y comentarios sobre desarrollos futuros.
También presente en VulnCon, J’aime Maynard, responsable de acuerdos de consorcios de la Technology Partnership Office (TPO), dio información sobre quién puede unirse al NVD Consortium y cómo hacerlo.
En resumen, los candidatos deben ser organizaciones, firmar el mismo Acuerdo Cooperativo de Investigación y Desarrollo (CRADA) con el NIST y aceptar las mismas condiciones y riesgos. Se está considerando una cuota de membresía.
A las entidades a las que se les prohíbe firmar un CRADA se les puede permitir participar en el Consorcio bajo un acuerdo alternativo apropiado.
Cada miembro tendrá un puesto en el comité directivo. El Consorcio se estructurará en diferentes grupos de trabajo.
El NIST emitirá un Aviso del Registro Federal que detalla los principales objetivos del Consorcio NVD, cómo presentar la solicitud y los puntos de contacto relevantes en el NIST.
Mientras tanto, los interesados pueden contactar a la siguiente dirección de correo electrónico: nvd_consortium@nist.gov.
Plan de uno a cinco años de NVD
Una vez que el NVD esté en funcionamiento, Brewer dijo que el programa considerará nuevos enfoques para mejorar sus procesos dentro de uno a cinco años, especialmente en torno a la identificación de software.
Algunas de las ideas incluyen:
- Involucrar a más socios: Poder hacer que terceros envíen datos de CPE para el Diccionario de CPE de manera que se adapten al número cada vez mayor de productos de TI.
- Mejoras en la identificación del software: Tratar la identificación de software en el NVD de una manera que se amplíe con complejidades crecientes (se considera la adopción de PULS)
- Nuevos tipos de datos: Desarrollar capacidades para publicar tipos adicionales de datos en NVD (por ejemplo, de EPSS, NIST Bugs Framework)
- Nuevos casos de uso: Desarrollar una manera de hacer que los datos NVD sean más consumibles y más personalizables para casos de uso específicos (por ejemplo, recibir alertas por correo electrónico de NVD cuando se publican CVE)
- CVE JSON 5.0: Ampliar las capacidades del NVD para utilizar nuevos puntos de datos disponibles en CVE JSON 5.0
- Automatización: Desarrollar una forma de automatizar al menos algunas actividades de análisis CVE
“Queremos evitar la necesidad de cualquier análisis humano para el enriquecimiento de CVE. Los recientes avances en IA podrían ayudar”, insistió Brewer.
Alguna “claridad largamente esperada”
Antes de VulnCon, muchos investigadores de vulnerabilidades criticaron la decisión del NIST de mantener su primera declaración pública para la conferencia.
Esto quedó ilustrado por el comentario de Lorenc durante Resilient Cyber, un podcast de vídeo de LinkedIn presentado por Chris Hughes, presidente de Aquia. “Anuncias un nuevo producto llamativo en una conferencia, no actualizas al mundo sobre lo que está pasando con algo tan importante como el NVD”, dijo Lorenc.
Sin embargo, la sesión de Brewer respondió muchas preguntas que los investigadores de vulnerabilidades le han estado haciendo al NIST durante el último mes.
Hablando a InfoseguridadHughes de Aquia comentó: “Los comentarios proporcionaron la claridad que la industria había estado pidiendo desde hacía mucho tiempo. El próximo enfoque colaborativo debería traer nuevo apoyo y participación y también ayudar a cuestiones de larga data, como el soporte de NVD para PURL, que ayuda a abordar los desafíos que NVD tiene en este momento en torno al ecosistema de código abierto y la seguridad de la cadena de suministro de software.
“El consenso es que esta breve interrupción ayudará a impulsar una colaboración más amplia de la industria a través del consorcio, así como a modernizar los desafíos de larga data con el NVD y sus operaciones y funcionalidades”.
Patrick Garrity, investigador de seguridad de VulnCheck, estuvo de acuerdo.
“La presencia de NIST NVD en la conferencia ha brindado la tranquilidad a la comunidad de que NIST NVD está trabajando activamente para abordar la brecha actual en el procesamiento de CVE. Si bien no hay un cronograma definitivo para la resolución, es evidente que están trabajando diligentemente para encontrar una solución, y también enfatizan la colaboración con la comunidad a través de un nuevo consorcio”, dijo.
Sin embargo, algunas voces siguen siendo críticas con respecto al discurso de Brewer en la VulnCon. En una publicación publicada el 28 de marzo en el foro Digital Utility Group del sitio web de EnergyCentral, Tom Alrich, codirector del Foro OWASP SBOM, dijo que lamentaba que Brewer no hubiera abordado la naturaleza de los problemas que el programa NVD ha estado experimentando o la razón detrás del reciente retraso.
Infosecurity se ha puesto en contacto con el NIST, que no ha respondido a las solicitudes de comentarios al momento de escribir este artículo.
