साइबर सुरक्षा चिकित्सकों ने तब से डिसॉर्डर चैनलों और लिंक्डइन को आपातकालीन पोस्ट और “एनवीडी” और “सीवीई” के मेम्स के साथ टॉम्बस्टोन पर उकेरे गए हैं। अप्रकाशित कमजोरियां साइबरैटैकर्स को तोड़ने वाले दूसरा सबसे आम तरीका है, और उन्होंने घातक अस्पताल के आउटेज और महत्वपूर्ण बुनियादी ढांचे की विफलताओं को जन्म दिया है। एक सोशल मीडिया पोस्ट में, एक अमेरिकी साइबर सुरक्षा विशेषज्ञ, जेन ईस्टरली ने कहा: “हार (सीवीई) हर लाइब्रेरी से कार्ड कैटलॉग को एक बार में कार्ड कैटलॉग को फाड़ने जैसा होगा – अराजकता के माध्यम से छाँटने के लिए रक्षकों को छोड़ देना, जबकि हमलावरों को पूरा फायदा उठाता है।” यदि CVES एक कार्ड कैटलॉग में एक पुस्तक की तरह प्रत्येक भेद्यता की पहचान करता है, तो NVD प्रविष्टियाँ गंभीरता, गुंजाइश और शोषण के आसपास संदर्भ के साथ विस्तृत समीक्षा प्रदान करती हैं।
अंत में, साइबर सुरक्षा और इन्फ्रास्ट्रक्चर सिक्योरिटी एजेंसी (CISA) ने सीवीई के लिए एक और वर्ष के लिए धन का विस्तार किया, जिससे घटना को “अनुबंध प्रशासन के मुद्दे” के लिए जिम्मेदार ठहराया गया। लेकिन एनवीडी की कहानी अधिक जटिल साबित हुई है। इसका मूल संगठन, नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड्स एंड टेक्नोलॉजी (NIST), ने कथित तौर पर 2024 में अपने बजट में लगभग 12% की कटौती की, उस समय के आसपास जब CISA ने NVD के लिए वार्षिक फंडिंग में अपना $ 3.7 मिलियन खींचा। कुछ ही समय बाद, जैसे -जैसे बैकलॉग बढ़ता गया, CISA ने विश्लेषण अंतराल को संबोधित करने में मदद करने के लिए अपना स्वयं का “vulnrichment” कार्यक्रम शुरू किया, जबकि अधिक वितरित दृष्टिकोण को बढ़ावा दिया जो कई अधिकृत भागीदारों को समृद्ध डेटा प्रकाशित करने की अनुमति देता है।
“सीआईएसए लगातार आकलन करता है कि संगठनों को नई खुलासा कमजोरियों के जोखिम को कम करने में मदद करने के लिए सीमित संसाधनों को कैसे आवंटित किया जाए,” सैंडी रैडस्की, असमानता प्रबंधन के लिए एजेंसी के एसोसिएट डायरेक्टर कहते हैं। केवल अंतराल को भरने के बजाय, वह इस बात पर जोर देती है कि विशिष्ट हितधारकों के लिए अनुशंसित कार्यों की तरह, अद्वितीय अतिरिक्त जानकारी प्रदान करने के लिए वुल्नरिकमेंट स्थापित किया गया था, और “संघीय सरकार की भूमिका की निर्भरता को कम करने के लिए भेद्यता संवर्धन का एकमात्र प्रदाता होना।”
इस बीच, NIST ने बैकलॉग को साफ करने में मदद करने के लिए ठेकेदारों को नियुक्त करने के लिए हाथापाई की है। पूर्व-संकट प्रसंस्करण स्तरों की वापसी के बावजूद, एनवीडी को बताई गई कमजोरियों में एक उछाल ने इन प्रयासों को छोड़ दिया है। सॉफ्टवेयर कंपनी एंकर के आंकड़ों के अनुसार, वर्तमान में 25,000 से अधिक कमजोरियां प्रसंस्करण का इंतजार करती हैं – 2017 में पिछले उच्च स्तर पर लगभग 10 गुना। इससे पहले, एनवीडी ने काफी हद तक सीवीई प्रकाशनों के साथ तालमेल रखा, एक न्यूनतम बैकलॉग को बनाए रखा।
NIST की सूचना प्रौद्योगिकी प्रयोगशाला में कंप्यूटर सुरक्षा प्रभाग के प्रमुख मैथ्यू शोल ने अप्रैल में एक उद्योग कार्यक्रम में कहा, “चीजें विघटनकारी रही हैं, और हम बोर्ड भर में बदलाव के समय से गुजर रहे हैं।” “नेतृत्व ने मुझे और सभी को आश्वासन दिया है कि एनवीडी है और एनआईएसटी के लिए एक मिशन प्राथमिकता बनी रहेगा, दोनों को पुनर्जीवित करने और क्षमताओं में।” एजेंसी में 20 साल बाद शोल ने मई में NIST को छोड़ दिया, और NIST ने बैकलॉग पर टिप्पणी करने से इनकार कर दिया।
स्थिति ने अब कई सरकारी कार्यों को प्रेरित किया है, वाणिज्य विभाग ने मई में एनवीडी का ऑडिट शुरू किया और हाउस डेमोक्रेट्स ने जून में दोनों कार्यक्रमों की व्यापक जांच के लिए कॉल किया। लेकिन ट्रस्ट को नुकसान पहले से ही भू -राजनीति और आपूर्ति श्रृंखलाओं को बदल रहा है क्योंकि सुरक्षा टीम साइबर जोखिम के एक नए युग के लिए तैयार होती हैं। “यह एक बुरा स्वाद छोड़ दिया है, और लोग महसूस कर रहे हैं कि वे इस पर भरोसा नहीं कर सकते हैं,” रोज गुप्ता कहते हैं, जो उद्यम भेद्यता प्रबंधन कार्यक्रमों का निर्माण और चलाते हैं। “यहां तक कि अगर वे एक बड़े बजट के साथ कल एक साथ सब कुछ प्राप्त करते हैं, तो मुझे नहीं पता कि यह फिर से नहीं होगा। इसलिए मुझे यह सुनिश्चित करना होगा कि मेरे पास अन्य नियंत्रण हैं।”
जैसा कि ये सार्वजनिक संसाधन लड़खड़ाते हैं, संगठन और सरकारें हमारे डिजिटल बुनियादी ढांचे में एक महत्वपूर्ण कमजोरी का सामना कर रही हैं: आवश्यक वैश्विक साइबर सुरक्षा सेवाएं अमेरिकी एजेंसी के हितों और सरकारी वित्त पोषण के एक जटिल वेब पर निर्भर करती हैं जो किसी भी समय कट या पुनर्निर्देशित की जा सकती हैं।
सुरक्षा हैव्स और हैव-नॉट्स
शुरुआती इंटरनेट युग में सॉफ्टवेयर कमजोरियों की एक चाल के रूप में जो शुरू हुआ, वह एक अजेय हिमस्खलन बन गया है, और दशकों से उन्हें ट्रैक करने वाले मुक्त डेटाबेस ने बनाए रखने के लिए संघर्ष किया है। जुलाई की शुरुआत में, CVE डेटाबेस ने 300,000 से अधिक कैटलॉग की कमजोरियों को पार किया। संख्याएँ हर साल अप्रत्याशित रूप से कूदती हैं, कभी -कभी 10% या बहुत कुछ। अपने नवीनतम संकट से पहले भी, एनवीडी नए भेद्यता विश्लेषणों के विलंबित प्रकाशन के लिए कुख्यात था, जो अक्सर निजी सुरक्षा सॉफ्टवेयर और विक्रेता सलाह को हफ्तों या महीनों से पीछे छोड़ते हैं।
