NIST giới hạn phân tích CVE sau khi lượng báo cáo tăng vọt 263%

Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) đã chính thức công bố những thay đổi quan trọng trong cách thức xử lý các lỗ hổng bảo mật CVE (Common Vulnerabilities and Exposures) được liệt kê trong Cơ sở dữ liệu Lỗ hổng Quốc gia (NVD). Theo thông báo mới nhất, NIST sẽ chỉ thực hiện phân tích chi tiết (enrichment) cho những CVE đáp ứng các tiêu chí cụ thể do sự bùng nổ trong số lượng báo cáo lỗ hổng được gửi đến. Các CVE không đáp ứng tiêu chí vẫn sẽ được liệt kê trong NVD nhưng sẽ không nhận được mức độ phân tích sâu như trước đây.

Chi tiết sự việc

Số lượng báo cáo CVE đã tăng vọt 263% trong thời gian gần đây, tạo ra áp lực khủng khiếp lên hệ thống phân tích của NIST. Trước đây, mọi CVE được báo cáo đều nhận được sự phân tích kỹ lưỡng từ các chuyên gia, bao gồm việc đánh giá mức độ nguy hiểm, phân loại tác động và cung cấp thông tin chi tiết về cách khai thác. Tuy nhiên, với khối lượng công việc tăng gấp ba lần, NIST buộc phải điều chỉnh quy trình để đảm bảo chất lượng phân tích.

Theo quy định mới, NIST sẽ ưu tiên phân tích những CVE có tác động nghiêm trọng nhất, đặc biệt là các lỗ hổng có thể được khai thác từ xa hoặc ảnh hưởng đến hạ tầng quan trọng. Các CVE khác vẫn sẽ xuất hiện trong cơ sở dữ liệu với thông tin cơ bản nhưng có thể thiếu đi những phân tích chuyên sâu mà cộng đồng bảo mật từng quen thuộc.

Mức độ nghiêm trọng

Quyết định này có tác động sâu rộng đến toàn bộ hệ sinh thái an ninh mạng toàn cầu. NVD được coi là nguồn tham khảo chính thức và đáng tin cậy nhất về các lỗ hổng bảo mật, được hàng triệu chuyên gia IT, nhà phát triển phần mềm và tổ chức trên khắp thế giới sử dụng để đánh giá rủi ro. Việc giảm mức độ phân tích có thể khiến các tổ chức gặp khó khăn trong việc ưu tiên xử lý các lỗ hổng, đặc biệt là những doanh nghiệp nhỏ thiếu nguồn lực chuyên môn.

Tình trạng quá tải này phản ánh một thực tế đáng lo ngại: số lượng lỗ hổng bảo mật đang gia tăng với tốc độ chóng mặt, vượt xa khả năng xử lý của các tổ chức chuyên trách. Điều này có thể dẫn đến việc một số lỗ hổng nghiêm trọng bị bỏ qua hoặc không được đánh giá đúng mức độ nguy hiểm, tạo ra những lỗ hổng trong phòng thủ an ninh mạng.

Phân tích kỹ thuật

Sự gia tăng 263% trong báo cáo CVE có thể được giải thích bởi nhiều yếu tố. Thứ nhất, việc số hóa gia tăng sau đại dịch COVID-19 đã mở rộng đáng kể bề mặt tấn công, với nhiều ứng dụng và dịch vụ mới được triển khai nhanh chóng mà chưa qua kiểm tra bảo mật kỹ lưỡng. Thứ hai, cộng đồng nghiên cứu bảo mật ngày càng tích cực trong việc tìm kiếm và báo cáo lỗ hổng, được thúc đẩy bởi các chương trình bug bounty và ý thức bảo mật gia tăng.

Về mặt kỹ thuật, việc NIST phải selective trong phân tích CVE đặt ra thách thức lớn cho các hệ thống tự động hóa bảo mật. Nhiều công cụ quét lỗ hổng và hệ thống SIEM dựa vào dữ liệu chi tiết từ NVD để đưa ra cảnh báo và đánh giá rủi ro. Sự thiếu hụt thông tin này có thể làm giảm hiệu quả của các giải pháp bảo mật tự động, đòi hỏi các tổ chức phải đầu tư thêm vào phân tích thủ công hoặc tìm kiếm các nguồn thông tin bổ sung.

Khuyến nghị bảo mật

Trước tình hình này, các tổ chức cần điều chỉnh chiến lược quản lý lỗ hổng của mình để không phụ thuộc hoàn toàn vào NVD. Khuyến nghị các doanh nghiệp nên đa dạng hóa nguồn thông tin bảo mật, tham khảo thêm từ các nhà cung cấp bảo mật uy tín, cộng đồng nghiên cứu và thiết lập quy trình đánh giá rủi ro nội bộ. Đồng thời, cần ưu tiên việc cập nhật bản vá bảo mật thường xuyên và triển khai các biện pháp phòng thủ nhiều lớp để giảm thiểu tác động của các lỗ hổng chưa được phân tích đầy đủ. Việc đầu tư vào đào tạo đội ngũ IT nội bộ về kỹ năng đánh giá lỗ hổng cũng trở nên cấp thiết hơn bao giờ hết.