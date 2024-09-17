Los recortes presupuestarios son parcialmente responsables de los problemas de análisis de CVE. Como lo señaló la revista Security Magazine, el financiamiento del NIST se redujo en un 12 % este año, lo que hace más difícil para la agencia enriquecer las CVE. En la práctica, el NVD es efectivamente un consumidor posterior de datos de CVE: mientras que el número de CVE encontradas e informadas se mantiene estable, la capacidad del NIST para evaluar y enriquecer estas vulnerabilidades se ha reducido significativamente.

La gran cantidad de vulnerabilidades declaradas también supone un problema para los esfuerzos de análisis; la investigación de Flashpoint encontró que el NIST declaró 33 137 vulnerabilidades en 2023. En parte, el aumento de los números está ligado a una mejora en las capacidades de detección. A medida que las empresas amplían sus esfuerzos de seguridad con tecnologías basadas en la nube y herramientas habilitadas para la IA, están en mejores condiciones de identificar amenazas potenciales. Como resultado, los números más grandes no siempre son indicativos de un mayor riesgo, pero sí hablan de un número creciente de posibles rutas de ataque.

El NIST tiene un plan para eliminar el backlog. Según USASpending.gov, el gobierno ha otorgado un contrato de 860 000 USD a Analygence para el análisis de ciberseguridad y el soporte de correo electrónico. Los esfuerzos de análisis estaban programados para comenzar el 3 de junio, y el NIST espera volver a la normalidad para septiembre de 2024. Si bien el contrato finalizará en diciembre de 2024, la agencia tiene la opción de extender los servicios hasta julio de 2025.