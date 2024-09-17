Los recortes presupuestarios son parcialmente responsables de los problemas de análisis de CVE. Como lo señaló Security Magazine, la financiación del NIST se redujo en un 12 % este año, lo que hace más difícil para la agencia enriquecer las CVE. En la práctica, la NVD es efectivamente un consumidor descendente de datos CVE: aunque el número de CVE encontrados y notificados se mantiene estable, la capacidad del NIST para evaluar y enriquecer estas vulnerabilidades se ha reducido significativamente.

La gran cantidad de vulnerabilidades reportadas también supone un problema para los esfuerzos de análisis; la investigación de Flashpoint reveló que el NIST informó de 33 137 vulnerabilidades en 2023. En parte, el aumento de los números está ligado a una mejora en las capacidades de detección. A medida que las empresas amplían sus esfuerzos de seguridad con tecnologías basadas en la nube y herramientas habilitadas para la IA, son más capaces de detectar posibles amenazas. Como resultado, los números más grandes no siempre son indicativos de un mayor riesgo, pero sí hablan de un número creciente de posibles rutas de ataque.

El NIST tiene un plan para eliminar el atraso. Según USASpending.gov, el gobierno ha adjudicado un contrato de 860 000 USD a Analygence para análisis de ciberseguridad y soporte por correo electrónico. Los esfuerzos de análisis estaban programados para comenzar el 3 de junio, y el NIST espera volver a la normalidad en septiembre de 2024. Aunque está previsto que el contrato finalice en diciembre de 2024, la agencia tiene la opción de ampliar los servicios hasta julio de 2025.