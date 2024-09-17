Budgetkürzungen tragen teilweise zur Problematik bei der CVE-Analyse bei. Wie das Security Magazine berichtet, wurden die Mittel des NIST in diesem Jahr um 12 % gekürzt, was es für die Behörde schwieriger macht, CVEs zu erweitern. In der Praxis ist die NVD praktisch ein nachgelagerter Verbraucher von CVE-Daten – während die Anzahl der gefundenen und gemeldeten CVEs stabil bleibt, hat sich die Fähigkeit des NIST, diese Schwachstellen zu bewerten und zu ergänzen, erheblich verringert.

Die schiere Anzahl der gemeldeten Sicherheitslücken stellt ebenfalls ein Problem für die Analyse dar. Flashpoint-Forschung fand heraus, dass das NIST im Jahr 2023 33.137 Sicherheitslücken gemeldet hat. Zum Teil sind die steigenden Zahlen auf verbesserte Erkennungsfunktionen zurückzuführen. Wenn Unternehmen ihre Sicherheitsbemühungen mit Cloud-basierten Technologien und KI-fähigen Tools ausweiten, können sie potenzielle Bedrohungen besser erkennen. Daher sind größere Zahlen nicht immer ein Zeichen für ein erhöhtes Risiko, aber sie deuten auf eine wachsende Anzahl potenzieller Angriffswege hin.

Das NIST hat einen Plan, um den Rückstau abzubauen. Laut USASpending.gov hat die Regierung einen Vertrag über 860.000 USD an Analygence für Cybersicherheitsanalyse und E-Mail-Support vergeben. Die Analysearbeiten sollten am 3. Juni beginnen, und das NIST hofft, bis September 2024 wieder auf Kurs zu sein. Der Vertrag soll zwar im Dezember 2024 enden, aber die Agentur hat die Option, den Service bis Juli 2025 zu verlängern.