NVD-Schwachstellendatenbank: NIST verpflichtet Unternehmen zur Mithilfe
Das US-amerikanische NIST hat ein Unternehmen unter Vertrag genommen, das bei der Abarbeitung des RĂĽckstaus der NVD-Datenbank helfen soll.
Das US-amerikanische NIST (National Institute of Standards and Technology) hat einen großen Rückstau bei der Aufarbeitung der CVE-Schwachstelleneinträge in der Nation Vulnerability Database (NVD) aufgebaut. Bei der Suche nach einer Lösung hat die Behörde ein Unternehmen unter Vertrag genommen, das bei der Auflösung des Backlogs aushelfen soll.
In einer Ankündigung auf der NIST-Webseite erläutert die US-Behörde ihre Pläne. "Das NIST hat einen Vertrag für zusätzliche Verarbeitungsunterstützung für eingehende Common Vulnerabilities and Exposures (CVEs) zur Aufnahme in die NVD vergeben. Wir sind zuversichtlich, dass die zusätzliche Unterstützung uns ermöglicht, in den nächsten Monaten zu Verarbeitungsraten zurückzukehren, die wir vor Februar 2024 gepflegt haben", schreiben die Mitarbeiter.
RĂĽckstau seit Februar
Das NIST reichert die von teilnehmenden Unternehmen und Organisationen eingereichten Schwachstellenmeldungen (CVEs) mit weiteren nützlichen Meta-Informationen an – etwa dem Schweregrad, Schwachstellentyp, Links, Unternehmens- und Softwarenamen. Mit diesen Zusätzen werden die CVE-Einträge für viele erst nutzbar und lassen sich etwa mittels Automatisierung verwenden. Bei den Einträgen hat sich seit Februar ein Rückstau gebildet. Den will das NIST zusammen mit der Cybersecurity and Infrastructure Security Agency (CISA) bearbeiten und bis zum Ende des Fiskaljahrs auflösen.
Weitere Maßnahmen zur Verarbeitung des zunehmenden Schwachstellen-Meldungsstroms umfassen technische und Prozess-Aktualisierungen. Ziel sei ein Programm, das langfristig nachhaltig ist und die Automatisierung vom Schwachstellen-Management, Sicherheitsbewertung und Vorschrifteneinhaltung ermöglicht.
Externes Unternehmen hilft aus
Wie TheRecord meldet, hat das NIST das Unternehmen Analygence ausgewählt, um bei der Aufarbeitung des Backlogs auszuhelfen. Die in Maryland ansässige US-Firma wurde 2010 von Militärveteranen gegründet und liefert bereits länger Cybersecurity-Dienste für die US-Bundesbehörden und das US-Militär. Der erste Vertrag mit dem DHS (Department of Homeland Security) kam demnach 2017 zustande. Seitdem sei es zu 31 Verträgen mit US-Einrichtungen gekommen.
Vor dem Vertrag mit dem NIST hat Analygence mit der CISA einen Vertrag rund um Schwachstellenbeurteilung und -Koordinierung innerhalb der "Schwachstellenverwaltungsabteilung" der Behörde unterzeichnet. TheRecord zufolge hat Analygence auf Anfrage zu Erfahrungen mit nationalen Schwachstellendatenbanken geantwortet, dass das Unternehmen derartige Arbeiten in anderen Ländern noch nicht erledigt habe, aber signifikante Erfahrungen beim Liefern eines weiten Spektrums von Cybersicherheitsdiensten für das DHS und die Air Force habe.
Im Dezember hat das Unternehmen demnach 14 weitere ausgestochen und den Zuschlag für den 5-Jahres-Vertrag mit einem Auftragsvolumen von 125 Millionen US-Dollar vom NIST erhalten. Das Auslagern an externe Vertragsarbeiter sei bei vielen US-Bundesbehörden üblich, um die nötige Personalausstattung zu erreichen.
(dmk)