إن المعهد الوطني لعلم الأمراض في الولايات المتحدة ، المعهد الوطني للمعايير والتكنولوجيا (NIST) ، هو التوقف قاعدة بيانات الضعف الوطنية (NVD).
في إعلان نشر الأسبوع الماضي ، قال هيئة المعايير إن كل CVE مع تاريخ منشور قبل 1 يناير 2018 سيتم الآن وضع علامة على أنه مؤجل ضمن مجموعة بيانات NVD.
وقال نيست في بيان: “نحن نخصص هذه الحالة إلى CVES الأقدم للإشارة إلى أننا لا نخطط لتحديد أولويات تحديث إثراء NVD أو بيانات تخصيب NVD الأولية بسبب عمر CVE”.
ويأتي إعلان NIST في الوقت الذي تكافح فيه المنظمة للتعامل مع مجموعة من الآلاف من CVES التي تحتاج إلى تحليل ومعالجة. في النقاط من العام الماضي ، بلغ هذا التراكم 18000 سجل حيث ارتفعت الطلبات الجديدة بنسبة 32 ٪. لقد تم استكشاف استخدام التقنيات الجديدة ، بما في ذلك التعلم الآلي ، لمحاولة أتمتة طريقها للخروج من معضلها.
مثل معظم السلطات الأخرى في هذا الشأن ، تتوقع NIST أن أحجام تقديم الضعف سوف تستمر في الارتفاع في عام 2025.
قالت NIST إنها ستستمر في قبول ومراجعة طلبات تحديث البيانات الوصفية التي توفرها لسجلات CVE الخاصة بها ، وإذا ظهرت معلومات جديدة تشير إلى أن تحديث البيانات المذكورة مناسب ، فسوف “سيستمر في تحديد أولويات” هذا العمل الخاضع للوقت وتوافر الموارد.
سيستمر أيضًا في إعطاء الأولوية لأي CVES المضافة إلى وكالة أمن الأمن السيبراني والبنية التحتية (CISA) الضعف المعروف المستغلة كتالوج ، بغض النظر عن عمرهم.
تيم ماكي ، رئيس سلسلة توريد البرمجيات مخاطر في البط الأسود، قال: “على الرغم من أنه قد يكون من المثير للاهتمام رؤية CVES الأكبر سناً ، وخاصة تلك المرتبطة بموظفات الضعف البارزة ، يتم توجيهها إلى أولوية أقل ، إلا أن الواقع هو أن CVE يبقى في NVD مع اعتراف بأن التحديثات التي يتم تحديثها إلى CVES الأقدم نادرة.
“لأغراض عملية ، أود أن أرى أي منظمة لم تصحح أو تخفف شيئًا تم تصنيفه الآن على أنه” مؤجل “على أنه يمتلك برنامجًا لرقعة الضعف أو برنامج الأمن السيبراني DevOps.
وقال: “لنجعل هذا الحدث دعوة للعمل لفرق الاستجابة لحوادث أمن المنتج لتجديد جميع البرامج ثم فرز جميع نقاط الضعف مع وضع مؤجل”.
تخفيضات الولايات المتحدة
في الأسابيع الأخيرة ، كان NIST بالإضافة إلى ذلك تخضع لسلسلة من التخفيضات من قبل وزارة الكفاءة الحكومية (DOGE) ، فإن الهيئة الجديدة بقيادة إيلون موسك التي كلفها بتكليف الآلاف من التكرار في جميع أنحاء الحكومة الفيدرالية ، ومن المفهوم أنها تخطط لإطلاق 20 ٪ من القوى العاملة على والد نيست ، وزارة التجارة.
في الأسبوع الماضي ، عدد من السياسيين الأمريكيين وزير التجارة المضغوط هوارد لوتنيك على هذه التخفيضات وحذروا من أنها قد تهدد عمل NIST على تطوير المعايير وتشكل خطراً على سلامة وأمن المستهلكين على حد سواء ، بالإضافة إلى القيادة الأمريكية الضارة والقوة الناعمة على المسرح العالمي.
وفقا لعنوان شقيقة الكمبيوتر الأسبوعية الأمن السيبراني الغوص، فقدت CISA ما لا يقل عن 170 من الأدوار من خلال تخفيضات دويج إلى وزارة الأمن الداخلي (DHS) ، في حين استقال العديد من الموظفين الآخرين في الوكالة الإلكترونية الوطنية للولايات المتحدة – والتي أنشأها الرئيس ترامب خلال فترة ولايته الأولى وسط معنويات الأطباق.
