EL La acumulación de vulnerabilidades no analizadas en la Base de Datos Nacional de Vulnerabilidades continúa creciendoy nuevas estimaciones sugieren que el retraso podría alcanzar casi 30.000 vulnerabilidades no analizadas para finales de 2024.
La Base de datos nacional de vulnerabilidades (NVD), mantenida por el Instituto Nacional de Estándares y Tecnología (NIST), es el depósito oficial de vulnerabilidades y exposiciones comunes de los Estados Unidos. Muchos escáneres, analistas y proveedores confían en NVD para determinar qué software se ha visto afectado por una vulnerabilidad. Cuando las vulnerabilidades no se agregan a la base de datos de manera oportuna, afecta la capacidad del defensor empresarial para priorizar las vulnerabilidades que requieren reparación inmediata o identificar problemas que afectan múltiples aplicaciones.
NVD actualmente tiene una acumulación de 16.974 vulnerabilidades y recibe, en promedio, aproximadamente 111 violaciones de seguridad adicionales por día. Los datos de Fortress Information Security sugieren Se espera que los analistas procesen más de 217 vulnerabilidades por día para eliminar el trabajo atrasado y rastrear las vulnerabilidades recientemente reportadas. Actualmente, NIST detecta un promedio de poco más de 30 nuevas vulnerabilidades por día, según Fortress.
Los desafíos de recursos, el mayor volumen de vulnerabilidades reveladas y otras limitaciones han obstaculizó la capacidad del NIST para abordar las vulnerabilidades de manera oportuna, NIST anunció a principios de este año una asociación con la Agencia de Seguridad de Infraestructura y Ciberseguridad, así como un contrato con una empresa privada de ciberseguridad para ayudar a eliminar el retrasoEl objetivo era reducir el retraso para el 30 de septiembre, el final del año fiscal del gobierno.
Según Fortress, el NIST analizó poco más de una cuarta parte de los nuevos CVE descubiertos en 2024. Al ritmo actual, Fortress estima que todavía habrá 29.569 vulnerabilidades esperando a ser analizadas para finales de 2024, y ese cálculo se basa en el supuesto de que los analistas trabajar los siete días de la semana.
Con 155 días hasta el final del año fiscal 2024 (y solo 62 días hasta el final del año fiscal), el NIST necesitaría aumentar significativamente sus recursos para reducir razonablemente el trabajo atrasado.