Эксперты поставили под сомнение эффективность базы CVE

4

IT-специалисты, использующие базу уязвимостей CVE, пропускают почти треть всех проблем.

Эксперты поставили под сомнение эффективность базы CVE


Эксперты порекомендовали исследователям не полагаться исключительно на базу данных CVE во время проведения сканирования на предмет поиска уязвимостей в системе. Как говорится в отчете компании Risk Based Security, подобное решение приведет к тому, что IT-специалисты пропустят почти треть всех уязвимостей.

По словам соучредителя компании Джейка Коунса (Jake Kouns), если компания использует только базу CVE, то по меньшей мере 33% обнаруженных уязвимостей могут оказаться ей абсолютно неизвестны.

Проблема, считают в компании, заключается в том, что команда MITRE в основном ждет, пока исследователи или производители не проинформируют организацию об уязвимости для присвоения идентификатора CVE. Таким образом, если специалист не сообщит о проблеме и не запросит CVE, уязвимость вообще не будет занесена в базу. Вместо этого информация о ней будет внесена в другие базы, например, BitBucket, SourceForge, GitHub или в собственные базы производителей.

Как говорится в отчете, многие CVE остаются в «зарезервированном» состоянии в течение длительного периода времени. CVE резервируется, если подробности о ней еще не опубликованы из соображений безопасности. Однако CVE слишком медленно обновляется даже после того, как исследователи публикуют информацию об уязвимости в Сети.

Проекту CVE исполнилось в прошлом месяце 20 лет, и в течение долгого времени он охватывал сравнительно небольшое число уязвимостей. Но к 2017 году количество включенных в него уязвимостей возросло на 128%, и с каждым годом становится все больше. Обработка проблем замедлилась, поскольку команда организации столкнулась с большей рабочей нагрузкой, говорится в отчете.

Источник