Los expertos tienen dudas sobre la efectividad de la base de datos CVE y aconsejado los investigadores no deben confiar únicamente en esta base de datos de amenazas cuando buscan vulnerabilidades en el sistema.
UNAs declarado en el informe de la empresa Seguridad basada en riesgos, solución de este tipo hará que un profesionales de TI pierden casi un tercio de todas las vulnerabilidades.“Si su organización actualmente depende de CVE (y la mayoría son), al menos 33% de todas las vulnerabilidades reveladas son completamente desconocidas para usted”, — dijo el cofundador de la compañía, Jake Kouns, en el informe..
según la compañía, el problema es que el equipo de MITRE básicamente espera a que los investigadores o fabricantes informen a la organización sobre la vulnerabilidad para asignar un identificador CVE.
Así, si un especialista no informa un problema y no solicita un CVE, la vulnerabilidad no se ingresará en la base de datos en absoluto. En lugar, la información al respecto se ingresará en otras bases de datos, Por ejemplo, BitBucket, FuenteForja, GitHub, o en bases de datos del propio fabricante.
leer también: TEl experto creó un exploit PoC que elude la protección PatchGuard
Como consta en el informe, muchos CVE permanecen en un estado "reservado" durante mucho tiempo. CVE está reservado si aún no se han publicado detalles al respecto por razones de seguridad..
sin embargo, CVE tarda en procesar los detalles y actualizar el informe de CVE para muchos errores, incluso después de que los detalles sean de dominio público, el informe advierte”, - escribe Autor de la revista Infosecurity, Danny Bradbury.
El proyecto CVE sin fines de lucro se convirtió 20 El mes pasado, y con el tiempo, cubrió un número relativamente pequeño de vulnerabilidades. sin embargo, por 2017, el número de vulnerabilidades incluidas en él aumentó en 128%, y cada año se hace más y más.
El procesamiento de problemas se ralentizó a medida que el equipo de la organización enfrentaba una mayor carga de trabajo, el informe dijo. El programa CVE ha respondido aumentando el número de Autoridades de numeración CVE (CNA), cuáles son las organizaciones que pueden otorgar un número CVE para un error de seguridad informado. Mitre está trabajando arduamente para mantenerse al día con el creciente volumen de errores, pero nadie negará que es un reto.
