Wat kan er gedaan worden aan de crisis in de National Vulnerability Database? ISMS.online

Wat kan er gedaan worden aan de nationale kwetsbaarheidsdatabasecrisis?

Door René Millman • 11 juni 2024

Het National Institute of Standards and Technology (NIST) bevindt zich in een situatie die ernstige gevolgen heeft voor cyberbeveiligingsteams over de hele wereld. De National Vulnerability Database (NVD), de centrale opslagplaats voor Common Vulnerabilities and Exposures (CVE’s), bezwijkt onder het gewicht van een ongekende achterstand. In april waren slechts 4,000 van de bijna 11,000 CVE’s verwerkt, waardoor maar liefst 7,000 kwetsbaarheden in het ongewisse bleven. Deze achterstand is niet slechts een klein probleempje, het is een flagrant veiligheidsrisico.

Hoe kunnen beveiligingsteams, in het licht van deze groeiende crisis, ervoor zorgen dat ze potentiële bedreigingen voor blijven?

Huidige mitigatie-inspanningen van NIST

Neatsun Ziv, CEO van Ox Security, zegt het botweg.

“De achterstand aan onverwerkte CVE’s bij de NVD brengt aanzienlijke risico’s met zich mee voor organisaties, waardoor potentiële blinde vlekken ontstaan en reacties op nieuwe bedreigingen worden vertraagd”, vertelt hij aan ISMS.online. “Deze achterstand komt ten goede aan kwaadwillende actoren, waardoor de risico’s voor de toeleveringsketen in kritieke sectoren toenemen.”

Roger Grimes, datagedreven defensie-evangelist bij KnowBe4, onderstreept de omvang van de uitdaging.

“Vorig jaar waren er volgens de NVD ruim 33,000 kwetsbaarheden. Dat komt neer op meer dan 90 nieuwe kwetsbaarheden in software en firmware per dag. Het documenteren, verifiëren en rangschikken van deze bedreigingen is een enorme taak”, vertelt hij aan ISMS.online.

Grimes voegt eraan toe dat “33% van alle succesvolle datalekken alleen mogelijk zijn vanwege niet-gepatchte software- en firmwarekwetsbaarheden.”

NIST heeft verschillende maatregelen geïnitieerd om het probleem te verzachten en de functionaliteit van de NVD op de lange termijn te verbeteren. Een opmerkelijke inspanning is de vorming van een NVD-consortium, dat tot doel heeft de industrie, de overheid en andere belanghebbenden samen te brengen om de database gezamenlijk te beheren en te verbeteren. Van dit consortium wordt verwacht dat het helpt de werklast effectiever te verdelen en bredere expertise te integreren in het kwetsbaarheidsanalyseproces.

Ziv van Ox Security is optimistisch over deze inspanningen.

“Het initiatief van NIST om een nieuw consortium te vormen biedt aanzienlijke mogelijkheden voor verbetering op de lange termijn”, betoogt hij. “Als deze programma’s effectief worden geïmplementeerd, zullen ze waarschijnlijk leiden tot snellere verwerkingstijden, verbeterde gegevenskwaliteit en tijdige updates, wat de cyberbeveiligingsgemeenschap enorm ten goede zal komen.”

Bovendien heeft de Cybersecurity and Infrastructure Security Agency (CISA) een ‘vulnrichment’-programma geïntroduceerd dat is ontworpen om CVE-gegevens te verrijken met meer gedetailleerde en bruikbare informatie. Het beoogt de kwaliteit en bruikbaarheid van gegevens over kwetsbaarheden te verbeteren, waardoor deze gunstiger worden voor beveiligingsteams. Hoewel deze initiatieven veelbelovend zijn, bieden ze echter geen onmiddellijke verlichting voor organisaties die momenteel worstelen met de achterstand.

Ondanks deze inspanningen blijft de onmiddellijke impact van de achterstand een kritiek punt van zorg. Beveiligingsteams moeten deze uitdaging het hoofd bieden door alternatieve manieren te vinden om op de hoogte te blijven van nieuwe kwetsbaarheden en ervoor te zorgen dat hun patchbeheerprocessen effectief blijven.

De uitdaging voor beveiligingsteams

De achterstand in de NVD brengt aanzienlijke uitdagingen met zich mee voor beveiligingsteams, die vertrouwen op tijdige en nauwkeurige CVE-gegevens om hun systemen te beschermen. Zonder de meest actuele informatie van de NVD zijn organisaties mogelijk niet op de hoogte van nieuw ontdekte kwetsbaarheden, waardoor ze worden blootgesteld aan potentiële aanvallen. De situatie is vooral problematisch voor kleinere organisaties die niet over de middelen beschikken om kwetsbaarheden onafhankelijk van meerdere bronnen op te sporen.

“Nu nationale actoren en ransomwarebendes deze vertragingen uitbuiten, is het van cruciaal belang om de ernst van de situatie en het aanhoudende dreigingslandschap te begrijpen”, waarschuwt Ziv.

Beveiligingsteams staan nu voor de lastige taak om handmatig informatie over kwetsbaarheden van individuele leveranciers op te zoeken. Deze aanpak is arbeidsintensief en foutgevoelig, omdat er voortdurend meerdere bronnen moeten worden gemonitord. Bovendien kan het ontbreken van gestandaardiseerde ernstscores leiden tot een inconsistente risicobeoordeling, wat het besluitvormingsproces bemoeilijkt over welke kwetsbaarheden prioriteit moeten krijgen bij het patchen.

Deskundigen op dit gebied hebben de cruciale behoefte aan een gecentraliseerde, vertrouwde bron van informatie over kwetsbaarheden benadrukt. Jerry Gamblin, hoofdbedreigingsdetectie- en responsingenieur voor Cisco Vulnerability Management, benadrukte dat hoewel er alternatieve bronnen zoals de CISA Known Exploited Vulnerabilities (KEV)-catalogus bestaan, deze niet alomvattend zijn en zich primair richten op kwetsbaarheden die al actief worden uitgebuit.

Mitigatiestrategieën voor beveiligingsteams

Om de impact van de NVD-achterstand te beperken, kunnen beveiligingsteams verschillende strategieën hanteren:

Alternatieve databanken: Maak gebruik van andere betrouwbare bronnen van CVE-informatie. De KEV-catalogus van de CISA, hoewel niet alomvattend, kan kritische inzichten verschaffen in actief uitgebuit kwetsbaarheden.

Geautomatiseerde hulpmiddelen: Implementeer geautomatiseerde tools voor kwetsbaarheidsbeheer die kunnen scannen op kwetsbaarheden en realtime updates kunnen bieden. Deze tools kunnen de kloof helpen overbruggen die de NVD heeft achtergelaten door continue monitoring- en waarschuwingsmogelijkheden te bieden. Ziv beveelt geautomatiseerde tools aan zoals vulnerability management en Application Security Posture Management (ASPM).

Bedreigingsinlichtingendiensten: Abonneer u op informatiediensten over bedreigingen die tijdige en samengestelde informatie over kwetsbaarheden bieden. Deze services bieden vaak meer contextuele gegevens, waardoor beveiligingsteams de relevantie en potentiële impact van specifieke kwetsbaarheden op hun systemen kunnen begrijpen.

Gemeenschapssamenwerking: Neem deel aan cyberbeveiligingsgemeenschappen en -forums waar professionals inzichten en updates over de nieuwste kwetsbaarheden delen. Samenwerkingsplatforms kunnen een waardevolle bron zijn om op de hoogte te blijven en best practices uit te wisselen.

Aanpassing aan CVE-overbelasting

Hoewel de initiatieven van NIST, zoals de vorming van een consortium en de introductie van het vulnrichmentprogramma, toekomstige verbeteringen beloven, bieden ze weinig onmiddellijke verlichting.

Beveiligingsteams moeten daarom proactieve stappen ondernemen om de impact van deze achterstand te beperken. Door gebruik te maken van alternatieve databases zoals CISA's KEV, door gebruik te maken van geautomatiseerde tools voor kwetsbaarheidsbeheer, door zich te abonneren op realtime informatiediensten over dreigingen en door contact te maken met cyberbeveiligingsgemeenschappen, kunnen ze de leemte opvullen die de NVD heeft achtergelaten. Deze strategieën helpen niet alleen bij het onderhouden van een effectief patchbeheerprogramma, maar zorgen ook voor een gelaagde en veerkrachtige beveiligingshouding.

De NVD-achterstand is een duidelijke herinnering aan het belang van flexibiliteit in cybersecuritypraktijken. Ondanks tegenslagen blijven de collectieve expertise en vindingrijkheid van de cyberbeveiligingsgemeenschap haar grootste troeven. Door samen te werken en kennis te delen, kan het de uitdagingen overwinnen die door de NVD-achterstand ontstaan en beginnen met het bouwen van een veiligere digitale wereld.

René Millman

Rene Millman is een veelzijdige freelanceschrijver en presentator, gespecialiseerd in cybersecurity, AI, IoT en cloudtechnologieën. Naast zijn rol als bijdragend analist bij GigaOm, brengt hij uitgebreide ervaring met zich mee als voormalig Gartner-analist die zich richt op de infrastructuurmarkt. Rene Millman staat bekend om zijn expertise en heeft regelmatig televisieoptredens gedaan, waarbij hij inzichten en analyses deelde over technologietrends en invloedrijke bedrijven die ons dagelijks leven vormgeven. Blijf op de hoogte van de inzichten van Rene Millman door hem te volgen op Twitter.

Lees meer van Rene Millman

Cyber security 13 januari 2026

leven na de deadline: van naleving van de regelgeving tot operationele stabiliteit.

Leven na de deadline: DORA-naleving omzetten in operationele stabiliteit

De paniek rond januari 2025 is definitief voorbij. Maar voor de meest succesvolle leiders in de financiële sector is het echte werk, en de echte beloning, pas begonnen...

René Millman

Cyber security 13 augustus 2024

de crowdstrike-storing is een pleidooi voor het versterken van de incidentrespons met de ISO 27001-banner

De CrowdStrike-storing: een pleidooi voor het versterken van incidentrespons met ISO 27001

In juli 2024 leidde een mislukte software-update van CrowdStrike tot een aanzienlijke wereldwijde IT-storing, die gevolgen had voor talloze organisaties, waaronder luchtvaartmaatschappijen,...

René Millman

Cyber security 16 July 2024

het vermijden van de volgende medische cyberveiligheidslessen voor bedrijven

De volgende MediSecure vermijden: cyberbeveiligingslessen voor bedrijven

De cybersecuritycatastrofe van MediSecure is een duidelijke wake-upcall voor bedrijven: verwaarloos uw digitale verdediging niet, anders loopt u het risico...

René Millman