Архив метки: DBugs

На прошлой неделе западные ИБ-шники активно обсуждали очередное заявление руководителей NIST NVD, что "у них лапки", и они будут обогащать ещё меньше уязвимостей

Добавить комментарий

На прошлой неделе западные ИБ-шники активно обсуждали очередное заявление руководителей NIST NVD, что у них лапки, и они будут обогащать ещё меньше уязвимостей

На прошлой неделе западные ИБ-шники активно обсуждали очередное заявление руководителей NIST NVD, что "у них лапки", и они будут обогащать ещё меньше уязвимостей. Хотя, казалось бы куда уж меньше. 😏 Суть обращения, опубликованного NIST 15 апреля, в том, что из-за резкого роста числа CVE они меняют подход к ведению National Vulnerability Database: вместо анализа всех уязвимостей база переходит на риск-ориентированную модель. Полноценно обогащаться будут только приоритетные уязвимости:

🔥 уже эксплуатируемые (из каталога CISA KEV) - обещают обрабатывать за сутки
🏛️ относящиеся к ПО, используемому в госсекторе США (федеральным правительством)
🛠️ относящиеся к критическому ПО, определённому в Executive Order 14028

Остальные CVE останутся в базе, но получат низкий приоритет и будут долго оставаться без детального анализа. При этом NVD отказываются от дублирования CVSS-оценок (если CVSS пришёл от CNA, ему будут доверять, а свой CVSS рассчитывать не будут), будут реже перерабатывать записи, по которым изменилась ситуация, и фактически законсервируют накопившийся бэклог, чтобы сосредоточиться на наиболее опасных уязвимостях ценой снижения полноты и единообразия данных по остальным.

В целом, у меня такие новости вызывают сплошные фейспалмы. 🤦‍♂️ От NIST, которые, по-видимому, разогнали всех адекватных IT/ИБ-специалистов и превратились в синекуру для бюрократов, тратящих огромное финансирование непонятно на что. От CISA, которые не могут навести порядок в базовом ИБ-сервисе, критичном и для США, и для мира в целом. От американской администрации, которая тратит совершенно астрономические суммы на дикие геополитические прожекты, но совершенно не заботится о том, что происходит (разваливается) у них дома. MAGA? Лол, что? 😅

Ну а в практическом плане это означает, что если вы полагаетесь ТОЛЬКО на бесплатную NVD, то совершаете фатальную ошибку. Адекватность этой базы год от года стремительно снижается. Учитывайте альтернативные источники: Vulners, DBugs, VulnCheck, GCVE, БДУ ФСТЭК и прочие. Единственной мировой базы уязвимостей больше нет.

Ниже привожу полный перевод сообщения NIST.
Читать далее

Встречайте dbugs - портал по уязвимостям от Positive Technologies!

Добавить комментарий

Встречайте dbugs - портал по уязвимостям от Positive Technologies! Встречайте dbugs - портал по уязвимостям от Positive Technologies! Встречайте dbugs - портал по уязвимостям от Positive Technologies! Встречайте dbugs - портал по уязвимостям от Positive Technologies! Встречайте dbugs - портал по уязвимостям от Positive Technologies! Встречайте dbugs - портал по уязвимостям от Positive Technologies! Встречайте dbugs - портал по уязвимостям от Positive Technologies!

Встречайте dbugs - портал по уязвимостям от Positive Technologies! 🎉 Этот проект демонстрирует, как в нашей компании происходит сбор и анализ данных по уязвимостям, в том числе и для определения трендовых уязвимостей.

Основные фишки:

🔹 Карточки уязвимостей со ссылками на источники (ссылки свои, а не из NVD и Mitre 😉!), возможность просматривать описание уязвимостей из разных источников (включая расширенное AI-ное описание от PT), автоматическое тегирование (наличие 👾 эксплоитов и фиксов, типы уязвимостей). Признака эксплуатации вживую пока нет, но обещают добавить. 🙏

🔹 AI Trends. Рейтинг уязвимостей по упоминаниям в микроблогах. Не путать с трендовыми уязвимостями, которые отображаются в MaxPatrol VM и о которых мы пишем в ежемесячных дайджестах.

🔹 Информация об исследователях и их рейтинг. Отталкиваясь от того, кто зарепортил уязвимость, можно прогнозировать реальную эксплуатабельность. Р - репутация. 🧐

И всё это доступно бесплатно! 🆓👍