Experten haben Zweifel an der Wirksamkeit der CVE-Datenbank und empfohlen Forscher ausschließlich auf dieser Bedrohung Datenbank nicht verlassen, wenn nach Schwachstellen im System scannen.
EINs in dem Bericht des Unternehmens angegeben Risikobasierte Sicherheit, Eine solche Lösung wird IT-Profis fast ein Drittel aller Sicherheitslücken nicht machen.„Wenn Ihr Unternehmen setzt derzeit auf CVE (und die meisten sind), wenigstens 33% alle gemeldeten Sicherheitsanfälligkeiten sind Sie völlig unbekannt“, - sagte der Gesellschaft Mitbegründer Jake Kouns im Bericht.
nach Angaben des Unternehmens, das Problem ist, dass die MITRE Team im Grunde wartet, bis Forscher oder Hersteller die Organisation über die Sicherheitslücke informiert eine CVE-Kennung zuweisen.
Somit, wenn ein Fachbericht kein Problem und nicht anfordert keine CVE, die Verwundbarkeit wird nicht in die Datenbank überhaupt eingegeben werden. Stattdessen, Informationen über sie werden in andere Datenbanken eingegeben werden, Zum Beispiel, Bit Bucket, Source, GitHub, oder in eigenen manufactrer in den Datenbanken.
lesen Sie auch: Ter Experte erstellt eine PoC-Exploit, umgeht Patchguard Schutz
Wie in dem Bericht angegeben, viele CVEs bleiben in einem „reservierten“ Zustand für eine lange Zeit. CVE ist reserviert, wenn Details über sie noch nicht aus Sicherheitsgründen veröffentlicht.
jedoch, CVE ist langsam, um die Details zu verarbeiten und die CVE-Bericht zu viele Fehler aktualisieren, auch nach Details in der Public Domain sind, warnt der Bericht“, - schreibt Infosecurity-Magazin-Autor Danny Bradbury.
Das Non-Profit-CVE-Projekt gedreht 20 Im vergangenen Monat, und im Laufe der Zeit, es bedeckt eine relativ kleine Anzahl von Schwachstellen. jedoch, durch 2017, die Anzahl der Schwachstellen darin enthalten erhöht durch 128%, und jedes Jahr wird es mehr und mehr.
Problem Verarbeitung verlangsamt als das Team die Organisation eine größere Arbeitsbelastung konfrontiert, so der Bericht. Das CVE-Programm hat durch die Erhöhung der Zahl der geantwortet CVE Numbering Behörden (CNAs), das sind die Organisationen, die eine CVE-Nummer für eine gemeldete Sicherheitslücke gewähren. Mitra arbeitet hart mit dem zunehmenden Volumen von Fehlern zu halten, aber niemand wird bestreiten, dass es eine Herausforderung.
