Gobierno, Industria específica, Operaciones de seguridad Un nuevo análisis revela una crisis creciente para la Base de Datos Nacional de VulnerabilidadesChris Riotta (@chrisriotta) • 26 de julio de 2024 La Base de Datos Nacional de Vulnerabilidades tiene actualmente una acumulación de más de 16.000 fallas sin analizar. Una abrumadora acumulación de vulnerabilidades sin analizar en el Instituto Nacional de Estándares y Tecnología amenaza con extenderse hasta 2025 a menos que la agencia acelere drásticamente sus operaciones de procesamiento, revela un nuevo análisis. Ver también: GovExec: pilares de la modernización La Base de Datos Nacional de Vulnerabilidades, que sirve como repositorio oficial de los Estados Unidos para vulnerabilidades y exposiciones comunes, recibe una afluencia diaria promedio de más de 100 fallas de seguridad recién reportadas, según un panel publicado el viernes por la firma de ciberseguridad Fortress Information Security. Mientras tanto, el NIST ha analizado un promedio de poco más de 30 nuevos CVE a lo largo de 2024 y tiene una creciente acumulación de más de 16.000 vulnerabilidades. La base de datos se ha visto plagada de desafíos de recursos y otras limitaciones que obstaculizan la capacidad del NIST para eliminar la enorme acumulación de riesgos de seguridad, lo que podría afectar potencialmente a los principales proveedores de ciberseguridad como CrowdStrike, Microsoft Defender y las principales herramientas de gestión de la postura de seguridad en la nube como Orca y Wiz (ver: Los expertos advierten que la acumulación de NVD está llegando a un punto crítico). El NIST dio a conocer un plan para restaurar la base de datos en mayo y otorgó un contrato de $865,657 a la empresa de ciberseguridad con sede en Maryland Analygence para obtener soporte de procesamiento adicional para ayudar a eliminar la acumulación «para el final del año fiscal», que es el 30 de septiembre. El análisis de Fortress Information Security indica que los analistas necesitarían eliminar más de 217 vulnerabilidades cada día para eliminar la acumulación y comenzar a procesar los CVE recién informados, mucho más que el promedio diario con la capacidad de procesamiento actual. La firma estima que el atraso podría aumentar a casi 30.000 fallas sin analizar para fines de 2024 si el NIST no aumenta su ritmo de análisis. El NIST culpó a «una variedad de factores» por el atraso a fines de abril. En un aviso en su sitio web, atribuyó sus lentas tasas de procesamiento a «un aumento en el software y, por lo tanto, las vulnerabilidades, así como un cambio en el apoyo interinstitucional». La agencia se negó a proporcionar más detalles en ese momento sobre la aparente interrupción en el apoyo interinstitucional. El NIST no respondió de inmediato a una solicitud de comentarios sobre el continuo crecimiento del atraso. Un portavoz del NIST le dijo anteriormente a Information Security Media Group que la agencia estaba coordinando con la Agencia de Seguridad de Infraestructura y Ciberseguridad para agregar nuevas fallas de seguridad no analizadas a la base de datos mientras «trabajaba en formas de abordar el creciente volumen de vulnerabilidades a través de actualizaciones de tecnología y procesos». Mientras tanto, los expertos han pedido que se procesen de forma automática algunas vulnerabilidades, así como apoyo adicional del sector privado y de agencias federales como la CISA, aunque actualmente el NIST sigue siendo responsable del análisis y la gestión principales de la base de datos. URL original de la publicación: https://www.databreachtoday.com/national-vulnerability-backlog-could-surge-to-30000-by-2025-a-25866