Este audio se genera automáticamente. Por favor háganos saber si tiene comentario.
El Instituto Nacional de Estándares y Tecnología está reevaluando su papel en el análisis de vulnerabilidades de software mientras intenta satisfacer la creciente demanda de análisis de vulnerabilidades y tranquilizar a sus socios sobre el compromiso continuo del gobierno con el programa que cataloga esas fallas.
“Hemos estado pensando cada vez más en la [National Vulnerability Database] y, estratégicamente, cómo planeamos avanzar”, dijo Jon Boyens, jefe interino de la División de Seguridad Informática del NIST, a los miembros del Consejo Asesor de Privacidad y Seguridad de la Información de la agencia durante una reunión trimestral el jueves.
La revisión estratégica del NIST de el NVD – que agrega información detallada a las fallas enumeradas en el financiamiento federal Vulnerabilidades y exposiciones comunes catálogo: se produce cuando los expertos en ciberseguridad cuestionan cada vez más el papel del gobierno en la gestión del ecosistema CVE. NIST durante años ha sido incapaz de seguir el ritmo con la avalancha de vulnerabilidades que requieren análisis y una controversia en 2025 sobre casi una interrupción en la financiación gubernamental para el catálogo CVE intensificó las preocupaciones sobre el destino de un recurso crítico de ciberseguridad.
«Hemos estado como atrapados durante el último año y medio», dijo Boyens, cuya división administra el NVD, a los miembros de la junta directiva en el segundo día de su reunión trimestral.
Durante años, dijo Boyens, las vulnerabilidades han llegado a la base de datos mucho más rápido de lo que el NIST puede analizarlas y proporcionar información detallada sobre ellas, un proceso que la agencia llama «enriquecimiento». Ese trabajo requiere «mucha mano de obra» y «no es escalable a la cantidad de CVE que estamos incorporando», explicó Boyens. «Estamos librando una batalla perdida. Lo reconocemos».
Fallos de clasificación
Para resolver este problema, el NIST comenzará a priorizar qué vulnerabilidades enriquece en función de varios factores, incluido si una vulnerabilidad aparece en el catálogo de vulnerabilidades explotadas conocidas de la Agencia de Seguridad de Infraestructura y Ciberseguridad, si existe en el software que utilizan las agencias federales y si existe en el software que NIST define como crítico.
«No todos los CVE son iguales», dijo Boyens. «Estamos en el proceso de definir esa priorización. Hemos tenido una priorización informal por un tiempo. Queremos formalizarla ahora».
El NIST también está tratando de cambiar las expectativas en torno al enriquecimiento al desalentar el uso de la palabra «atraso» para las vulnerabilidades no enriquecidas. «Tendremos que encontrar otro término», dijo Boyens. «No creo que sirva a nuestra misión o a nuestras partes interesadas intentar retroceder y enriquecer cada CVE que existe o que alguna vez se ha presentado».
Cambiando la responsabilidad
Al mismo tiempo, el NIST está reconsiderando su papel en el ecosistema de análisis de vulnerabilidad. La agencia tiene la intención de publicar una estrategia y un plan de implementación para guiar esta revisión, y una vez que obtenga la autoridad de contratación de la administración Trump, contratará a un gerente de programa para liderar el proceso.
Como parte de la revisión, el NIST colaborará con sus socios (otras agencias, empresas privadas e investigadores independientes) para comprender cómo utilizan el NVD y qué tipo de información quieren que proporcione.
«Hemos estado haciendo muchas de las cosas con las que enriquecemos los CVE, pero en realidad no sabemos si son realmente útiles», dijo Boyens.
La revisión, dijo, implicará “descubrir qué necesita la comunidad en general y luego dónde encaja el NIST en ese ecosistema”.
El objetivo del NIST es transferir el trabajo de enriquecimiento de vulnerabilidades a las Autoridades de Numeración de CVE (CNA), que validan los CVE y les asignan identificadores únicos. Pero antes de que eso pueda suceder, dijo Boyens, el NIST necesita redactar una guía para las CNA sobre cómo realizar el enriquecimiento.
Cuando el NIST finalmente transfiera ese trabajo a las CNA, dijo Boyens, representará “un gran reinicio” para la agencia, que ha analizado datos de vulnerabilidad. durante más de 20 años. El programa NVD siempre ha sido un caso atípico dentro de la cartera de ciberseguridad del NIST, que consiste principalmente en actividades de investigación y establecimiento de estándares en lugar de proyectos operativos.
“Nuestra base es la investigación, el desarrollo y el movimiento [the] solicitud [of technology] hacia el mercado más amplio», dijo Boyens. «Hemos encontrado que el aspecto operativo es muy costoso y está fuera de nuestra jurisdicción».
«Queremos volver a cuáles son las funciones principales del NIST», añadió.
¿Colaboración o competencia?
Durante la reunión del jueves, los miembros del consejo asesor preguntaron a Boyens sobre otros proyectos de análisis de vulnerabilidad que han surgido a raíz del casi colapso del programa CVE.
CISA, que financia la base de datos CVE, ha intentado demostrar su compromiso a la cuestión lanzando su propio Proyecto “Vulnrichment”. Pero Boyens se mostró escéptico ante ese esfuerzo y dijo a los miembros de la junta: «No creo que sea una solución al problema». [NVD] reserva. Creo que hemos descubierto que hay algunos esfuerzos duplicados allí”. El personal del NIST y CISA planea reunirse en los próximos días para «hacer un mejor trabajo de coordinación», añadió.
Boyens también expresó su preocupación por una nueva base de datos europea de vulnerabilidades, el Sistema Global de Asignación CVE (GCVE), que se lanzó en respuesta a preocupaciones sobre el sistema financiado por Estados Unidos. El NIST planea reunirse con los operadores de GCVE «para asegurarnos de que no estemos balcanizando todo el proceso en toda la comunidad», dijo Boynes.
Mientras tanto, el inspector general del Departamento de Comercio todavía está auditar el NVD en respuesta a las preocupaciones sobre el retraso. Boyens expresó su esperanza de que la auditoría, que según dijo había consumido «gran parte de nuestro tiempo», «concluya en breve».
Fuente