В отчете генерального инспектора Министерства торговли США винят Национальный институт стандартов и технологий (NIST) в постоянно растущем объеме неучтенных уязвимостей, ожидающих включения в Национальную базу данных уязвимостей (NVD). Однако специалисты по кибербезопасности утверждают, что этот бэклог, хотя и вполне реален, накапливался годами, и правительство мало что делает для решения этой проблемы.
Защитники NIST указывают на сокращение бюджета, что значительно усложнило выполнение их миссии. Потенциально более серьезной проблемой является резкое изменение характера выявления уязвимостей и их устранения за последние два года, связанное с разработками в области генеративного ИИ, которые резко увеличили количество обнаруженных уязвимостей и ускорили эти открытия. Это ставит вопрос о необходимости полной переработки процессов NVD.
Межведомственные распри
В отчете Генерального инспектора NIST обвинили в ряде недостатков в управлении и стратегии.
«Отсутствие стратегического планирования и решительных действий со стороны NIST позволило бэклогу необработанных уязвимостей продолжать расти», — говорится в отчете, где также отмечается, что NIST и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) управляют двумя программами обогащения данных об уязвимостях со значительным дублированием, что привело к потере примерно 200 000 долларов с мая 2024 года. Кроме того, недостаточная коммуникация NIST расстроила заинтересованные стороны и снизила доверие к NVD.
В отчете также сказано: «NIST должно повысить эффективность процессов обогащения для обеспечения устойчивости. По нашим оценкам, NIST могло бы более эффективно использовать около 800 000 долларов в течение следующих двух лет».
Проблемы с программами выявления уязвимостей также были связаны с многолетними бюрократическими распрями. Отмечается, что в течение двух лет CISA самостоятельно предоставляло почти все те же данные для обогащения, что и NIST.
«Следовательно, — говорится в отчете, — у NIST была возможность использовать данные CISA для ускорения сокращения бэклога. Однако должностные лица NIST заявили, что система NVD требовала технических обновлений для включения данных CISA, поскольку система не имела возможности атрибутировать данные конкретным источникам».
Из-за этого до завершения обновлений системы и последующих изменений процессов в марте 2025 года NIST отказывалось использовать данные CISA, поскольку это могло создать впечатление, что обогащение было выполнено аналитиком NVD.
«Хотя понятно, что NIST хотело быть ясным в отношении источника данных в NVD», — говорится в отчете, — «это в конечном итоге задержало обработку уязвимостей, чтобы различить, было ли обогащение завершено NIST или CISA, — обоими федеральными агентствами, имеющими доступ к одной и той же общедоступной информации».
Другой пример неэффективности также касался обогащения: «В мае 2024 года… CISA запустило собственную программу обогащения уязвимостей под названием Vulnrichment. В то время CISA пригласило NIST к сотрудничеству и совместному заявлению о новой программе. Однако NIST не участвовало в совместном заявлении и не делало никаких объявлений о программе CISA. В итоге обе программы действовали без координации и дублировали мероприятия по обогащению».
Расчеты оценок критичности NIST «могут больше не понадобиться»
Еще одной отмеченной проблемой была надежность расчета NIST оценок критичности.
«Для определения оценки критичности уязвимостей NIST использует отраслевой стандарт Common Vulnerability Scoring System (CVSS)… Наш обзор показал, что реализация сильно зависит от имеющейся информации и профессионального суждения», — говорится в отчете, где отмечается, что при внутреннем тестировании оценки критичности независимых оценщиков OIG совпадали лишь в 12% случаев. «Мы пришли к выводу, что оценки критичности различаются в зависимости от того, кто выполняет работу и какая информация ему доступна».
В отчете добавлено: «Традиционно NIST рассчитывало собственную независимую оценку критичности для каждой уязвимости. NIST заявило, что делало это в рамках своего мандата по определению характера и степени уязвимостей информационной безопасности и независимому назначению метрик критичности выявленным уязвимостям. Однако NIST не обязано рассчитывать оценку критичности для каждой уязвимости. Сегодня такой подход может больше не понадобиться, а с учетом растущего объема представлений уязвимостей он больше не является устойчивым».
В отчете Генерального инспектора также содержался официальный ответ NIST; CSO Online запросил у NIST разъяснения, но оно не ответило до публикации.
В этом ответе NIST заявило, что согласно отчету, оно согласно со всеми техническими рекомендациями, в основном касающимися разработки лучшего стратегического плана для NVD и плана управления бэклогом, но не согласно с тоном и формулировками.
«Вместо того чтобы оценивать влияние действий NIST справедливым, фактическим и объективным образом, это заявление необоснованно ставит под сомнение намерения и приоритеты NIST», — говорилось в ответе NIST, приписываемом исполняющему обязанности директора Крейгу Беркхардту. «Проект отчета изобилует формулировками, выходящими за рамки объективной, фактической оценки».
Реакция индустрии
Однако, по мнению некоторых наблюдателей, хотя отчет Генерального инспектора был точным, он упустил общую картину.
«Все внимание приковано к бэклогу, но в основе этого лежит финансовый вопрос. CISA покрывало почти половину финансирования NVD, а затем отказалось от этого, а бюджет лаборатории NIST был сокращен сверх этого. Вы не можете изъять такие деньги из чего-то столь важного, а затем удивляться, когда это ломается», — сказал Джефф Уильямс, технический директор Contrast Security.
Он отметил, что данные о том, что расчеты критичности уязвимостей аналитиками OIG совпали с расчетами NIST лишь в 12% случаев, говорят о том, что мера, используемая ИТ для приоритизации исправлений, «едва лучше угадывания». Это должно волновать людей больше, чем бэклог, сказал он.
Уильямс также утверждал, что ручные части анализа угроз больше не имеют особого смысла, указывая на то, что «легкие части» безопасности, такие как сканирование и создание тикетов, уже автоматизированы.
«Мы стали очень хороши в выявлении проблем и никогда не становились хороши в их решении. Настоящая работа по предотвращению — моделирование угроз и тщательное изучение архитектуры — по-прежнему выполняется вручную небольшим числом старших специалистов», — отметил он. «Мы автоматизировали не ту половину. ИИ может стать по-настоящему прорывным, помогая в экспертной работе, для которой мы никогда не смогли бы нанять достаточно людей, чтобы предотвратить уязвимости в первую очередь».
Брейден Перри, юрист по судебным разбирательствам, нормативным вопросам и государственным расследованиям из Kennyhertz Perry, также оспорил аргумент NIST о том, что юридические обязательства вынудили его принять некоторые из этих решений.
«Это юридический аргумент, и он частичный», — сказал он. «Закон определяет миссию. Он не диктует выборы, которые привели к бэклогу. Вот в чем различие: NIST ссылается на [федеральное правило], которое предписывает агентству назначать метрики критичности уязвимостям в открытом исходном коде. Это мандат. Но он охватывает только программное обеспечение с открытым исходным кодом, а не все уязвимости. В нем говорится о “метриках критичности”, а не о CVSS».
И, по его словам, правило не предписывает NIST пересчитывать оценку, которую уже предоставил поставщик или CISA; это было решение NIST. «Таким образом, мандат узок, а практика широка», — сказал он, отметив, что отчет генерального инспектора это ясно показал.
«Статуты, на которые ссылается NIST, не говорят, как управлять базой данных или что производить», — отметил он. «Они оставляют оперативные решения за NIST. На центральный вопрос, было ли NIST юридически вынуждено создать этот бэклог, ответ — нет. Обязанность поддерживать работу базы данных реальна. Этот беспорядок был выбором».
Жалобы NIST, по его словам, «являются управленческими неудачами, а не предписаниями закона. [NIST] тратит большую часть своей энергии, утверждая, что отчет был несправедливым и ему не хватало контекста. Это процессуальная претензия. Это не защита фактов».
Эрик Авакян, технический советник Info-Tech Research Group, заявил, что проблемы NVD, выявленные в отчете, вызывают меньшую озабоченность, чем тот факт, что слишком многие предприятия стали зависимы от NVD как единственного источника истины об уязвимостях.
«Я бы задал вопрос: почему мы ждем, пока NIST сообщит нам что-то важное?» — сказал Авакян. «Организации, которые так сильно полагаются на NVD, имеют более глубокие проблемы с зрелостью, потому что NVD следует рассматривать как вспомогательную функцию программы управления уязвимостями, а не как ее полную основу».
Ишрак Хан, генеральный директор Kodezi, поставщика инструментов для повышения производительности кодирования, добавил, что изменение масштабов обнаружения уязвимостей является более серьезной проблемой.
«Инфраструктура кибербезопасности должна масштабироваться с той же скоростью, что и обнаружение уязвимостей. Если обнаружение становится экспоненциально быстрее благодаря автоматизации и ИИ, в то время как обогащение и анализ остаются в значительной степени ручными, разрыв будет продолжать расти», — сказал Хан.
«Я подозреваю, что многие CISO прочтут этот отчет не столько как аудиторское заключение, сколько как предупреждающий знак. Вопрос больше не в том, можно ли найти уязвимости. Вопрос в том, смогут ли учреждения, ответственные за их организацию и приоритизацию, не отставать».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Evan Schuman
