NIST menja pristup ocenjivanju ranjivosti zbog porasta broja prijava
NIST prestaje sa ocenjivanjem manje prioritetnih ranjivosti jer je broj prijava dostigao nezaustavljivu razinu.
Šta se desilo?
Američki Nacionalni institut za standarde i tehnologiju (NIST) donosi važnu odluku da prestane sa dodeljvanjem ocena težine za manje prioritetne ranjivosti. Razlog - enorman porast broja prijava sigurnosnih propusta koji neprekidno stigu na obradu, što ozbiljno opterećuje kapacitete ustanove.
Koga pogađa?
Ova promena utiče na sve subjekte koji se oslanjaju na NIST ocene ranjivosti pri planiranju svojih zahvata zakrpe - od malih tehnoloških kompanija do velikih preduzeća i javnih institucija. Izuzetno je relevantna za informatičare i bezbednosne timove koji koriste CVSS ocene kao vodiču pri prioritizaciji popravki.
Kako se zaštititi?
- Razvij sopstvenu metodologiju ocenjivanja ranjivosti zasnovanu na rizicima za tvoju specifičnu sredinu
- Ne oslanjaj se isključivo na NIST ocene - kombiniraj više izvora informacija
- Prati direktno odbore za bezbednost proizvođača softvera koji te zanimaju
- Implementiraj vlastiti sistem kategorisanja grešaka prema važnosti za tvoju infrastrukturu
- Uključi ljude iz sigurnosnog tima u procenu praktičnog uticaja svake ranjivosti
Preporuka Sajber Radara
Ova promena signalizira da je ekosistem ranjivosti dostigao nivo slozenosti koji tradicionalni centralizovani sistemi više ne mogu efikasno obraditi. Bezbednosne timove pozivamo da proaktivno krenu ka decentralizovanom pristupu ocenjivanju rizika umesto da čekaju gotove ocene iz druge roke.