Experts twijfelen aan de effectiviteit van de CVE-database en adviseerde onderzoekers niet alleen vertrouwen op deze dreiging databank bij het scannen naar kwetsbaarheden in het systeem.
EENs vermeld in het jaarverslag van de onderneming Risk Based Beveiliging, een dergelijke oplossing zal maken IT-professionals missen bijna een derde van alle kwetsbaarheden.“Als uw organisatie momenteel een beroep doet op CVE (en de meeste zijn), tenminste 33% van alle gemelde beveiligingslekken zijn volledig onbekend aan u”, - zei mede-oprichter van het bedrijf Jake Kouns in het rapport.
volgens het bedrijf, het probleem is dat het MITRE team in principe wacht tot onderzoekers of fabrikanten van de organisatie te informeren over de kwetsbaarheid voor een CVE-id toewijzen.
Dus, Als een specialist rapporteert niet een probleem en niet een CVE vragen, de kwetsbaarheid zal niet in de database worden ingevoerd op alle. In plaats daarvan, Informatie over het zal in andere databases worden ingevoerd, Bijvoorbeeld, BitBucket, SourceForge, GitHub, of in databases eigen manufactrer's.
Lees ook: Thij expert creëerde een PoC exploit die omzeilt PatchGuard bescherming
Zoals vermeld in het verslag, veel CVE's blijven in een “gereserveerde” staat voor een lange tijd. CVE is gereserveerd als details over deze zijn nog niet om veiligheidsredenen gepubliceerd.
Echter, CVE is traag om de gegevens te verwerken en het actualiseren van de CVE rapport voor vele bugs, zelfs na details zijn in het publieke domein, waarschuwt het rapport”, - schrijft Infosecurity Magazine auteur Danny Bradbury.
De non-profit CVE project draaide 20 vorige maand, en na verloop van tijd, het bedekt een relatief klein aantal kwetsbaarheden. Echter, door 2017, het aantal kwetsbaarheden daarin opgenomen stegen met 128%, en elk jaar wordt het meer en meer.
Probleem verwerking vertraagd als team van de organisatie geconfronteerd met een grotere werklast, aldus het rapport. De CVE programma heeft hierop gereageerd door het verhogen van het aantal CVE Nummering Autoriteiten (CNA's), die de organisaties die een CVE-nummer voor een gerapporteerde security bug kan verlenen zijn. Mitre is hard bezig te houden met het toenemende volume van bugs, maar niemand zal ontkennen dat het een uitdaging.
