Эксперты поставили под сомнение эффективность базы CVE
02/12/19
Эксперты порекомендовали исследователям не полагаться исключительно на базу данных CVE во время проведения сканирования на предмет поиска уязвимостей в системе. Как говорится в отчете компании Risk Based Security, подобное решение приведет к тому, что IT-специалисты пропустят почти треть всех уязвимостей.
По словам соучредителя компании Джейка Коунса (Jake Kouns), если компания использует только базу CVE, то по меньшей мере 33% обнаруженных уязвимостей могут оказаться ей абсолютно неизвестны.
Проблема, считают в компании, заключается в том, что команда MITRE в основном ждет, пока исследователи или производители не проинформируют организацию об уязвимости для присвоения идентификатора CVE. Таким образом, если специалист не сообщит о проблеме и не запросит CVE, уязвимость вообще не будет занесена в базу. Вместо этого информация о ней будет внесена в другие базы, например, BitBucket, SourceForge, GitHub или в собственные базы производителей.
Как говорится в отчете, многие CVE остаются в «зарезервированном» состоянии в течение длительного периода времени. CVE резервируется, если подробности о ней еще не опубликованы из соображений безопасности. Однако CVE слишком медленно обновляется даже после того, как исследователи публикуют информацию об уязвимости в Сети.
Проекту CVE исполнилось в прошлом месяце 20 лет, и в течение долгого времени он охватывал сравнительно небольшое число уязвимостей. Но к 2017 году количество включенных в него уязвимостей возросло на 128%, и с каждым годом становится все больше. Обработка проблем замедлилась, поскольку команда организации столкнулась с большей рабочей нагрузкой, говорится в отчете.