Experts twijfelen aan de effectiviteit van de CVE-database

Experts twijfelen aan de effectiviteit van de CVE-database en adviseerde onderzoekers niet alleen vertrouwen op deze dreiging databank bij het scannen naar kwetsbaarheden in het systeem.

EENs vermeld in het jaarverslag van de onderneming Risk Based Beveiliging, een dergelijke oplossing zal maken IT-professionals missen bijna een derde van alle kwetsbaarheden.

“Als uw organisatie momenteel een beroep doet op CVE (en de meeste zijn), tenminste 33% van alle gemelde beveiligingslekken zijn volledig onbekend aan u”, - zei mede-oprichter van het bedrijf Jake Kouns in het rapport.

volgens het bedrijf, het probleem is dat het MITRE team in principe wacht tot onderzoekers of fabrikanten van de organisatie te informeren over de kwetsbaarheid voor een CVE-id toewijzen.

Dus, Als een specialist rapporteert niet een probleem en niet een CVE vragen, de kwetsbaarheid zal niet in de database worden ingevoerd op alle. In plaats daarvan, Informatie over het zal in andere databases worden ingevoerd, Bijvoorbeeld, BitBucket, SourceForge, GitHub, of in databases eigen manufactrer's.

Lees ook: Thij expert creëerde een PoC exploit die omzeilt PatchGuard bescherming

Zoals vermeld in het verslag, veel CVE's blijven in een “gereserveerde” staat voor een lange tijd. CVE is gereserveerd als details over deze zijn nog niet om veiligheidsredenen gepubliceerd.

Echter, CVE is traag om de gegevens te verwerken en het actualiseren van de CVE rapport voor vele bugs, zelfs na details zijn in het publieke domein, waarschuwt het rapport”, - schrijft Infosecurity Magazine auteur Danny Bradbury.

De non-profit CVE project draaide 20 vorige maand, en na verloop van tijd, het bedekt een relatief klein aantal kwetsbaarheden. Echter, door 2017, het aantal kwetsbaarheden daarin opgenomen stegen met 128%, en elk jaar wordt het meer en meer.

LEZEN  Linux en FreeBSD TCP Stapels Revealed DoS beveiligingslekken

Probleem verwerking vertraagd als team van de organisatie geconfronteerd met een grotere werklast, aldus het rapport. De CVE programma heeft hierop gereageerd door het verhogen van het aantal CVE Nummering Autoriteiten (CNA's), die de organisaties die een CVE-nummer voor een gerapporteerde security bug kan verlenen zijn. Mitre is hard bezig te houden met het toenemende volume van bugs, maar niemand zal ontkennen dat het een uitdaging.

[Totaal: 0    Gemiddelde: 0/5]

Over Trojan Killer

Carry Trojan Killer Portable op je memory stick. Zorg ervoor dat u in staat om uw pc te weerstaan ​​elke cyberdreigingen overal mee naar toe bent.

Controleer ook

StackOverflow Java-code error

De meest gekopieerde stukje Java-code op StackOverflow bevat een fout

Het bleek dat, the most copied piece of Java code on StackOverflow contains an

MageCart op de Heroku Cloud Platform

Onderzoekers vonden verschillende MageCart Web Skimmers Op Heroku Cloud Platform

Onderzoekers van Malwarebytes rapporteerde over het vinden van een aantal MageCart web skimmers op de Heroku cloud-platform …

Laat een antwoord achter