Trong một động thái chưa từng có, Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) đã thông báo sẽ ngừng phân công điểm số mức độ nghiêm trọng cho các lỗ hổng bảo mật có mức ưu tiên thấp. Quyết định này được đưa ra trong bối cảnh số lượng lỗ hổng bảo mật được báo cáo hàng ngày tăng vọt, khiến đội ngũ phân tích của NIST không thể xử lý kịp thời. Đây là lần đầu tiên trong lịch sử, tổ chức quản lý cơ sở dữ liệu lỗ hổng lớn nhất thế giới phải điều chỉnh quy trình hoạt động do áp lực khối lượng công việc.

Chi tiết sự việc

Theo thông báo chính thức từ NIST, số lượng lỗ hổng bảo mật được gửi đến cơ sở dữ liệu CVE (Common Vulnerabilities and Exposures) đã tăng gấp đôi trong hai năm qua. Cụ thể, từ mức trung bình 8.000-10.000 lỗ hổng mỗi năm vào giai đoạn 2018-2020, con số này đã tăng vọt lên hơn 20.000 lỗ hổng trong năm 2023. Đội ngũ chuyên gia của NIST hiện chỉ có khoảng 15-20 nhân viên chuyên trách phân tích và chấm điểm CVSS (Common Vulnerability Scoring System), trong khi khối lượng công việc đã vượt quá khả năng xử lý.

NIST cho biết họ sẽ ưu tiên tập trung nguồn lực vào việc phân tích các lỗ hổng có mức độ nghiêm trọng cao và cực kỳ nghiêm trọng (điểm CVSS từ 7.0 trở lên). Các lỗ hổng có mức độ thấp và trung bình sẽ được công bố thông tin cơ bản nhưng không có điểm số CVSS chi tiết. Tổ chức này cũng khuyến khích các nhà cung cấp phần mềm và các tổ chức bảo mật khác tự đánh giá và công bố điểm số cho các lỗ hổng do họ phát hiện.

Mức độ nghiêm trọng

Quyết định của NIST có thể tạo ra những tác động sâu rộng đối với toàn bộ cộng đồng an ninh mạng toàn cầu. Hệ thống chấm điểm CVSS của NIST được hàng nghìn tổ chức trên thế giới sử dụng làm chuẩn để đánh giá mức độ ưu tiên vá lỗi bảo mật. Khi không có điểm số chính thức từ NIST, các doanh nghiệp và tổ chức IT có thể gặp khó khăn trong việc xác định thứ tự ưu tiên xử lý các lỗ hổng. Điều này đặc biệt nghiêm trọng đối với các doanh nghiệp nhỏ và vừa không có đội ngũ chuyên gia bảo mật riêng.

Hơn nữa, việc thiếu chuẩn đánh giá thống nhất có thể dẫn đến tình trạng phân mảnh trong cách thức đánh giá lỗ hổng bảo mật. Các nhà cung cấp khác nhau có thể đưa ra điểm số khác nhau cho cùng một lỗ hổng, gây nhầm lẫn và khó khăn cho người dùng cuối. Tình trạng này cũng có thể được các tác nhân xấu lợi dụng, khi các lỗ hổng không được đánh giá chính xác có thể bị bỏ qua và trở thành điểm yếu trong hệ thống bảo mật.

Phân tích kỹ thuật

Nguyên nhân chính dẫn đến tình trạng quá tải này là sự bùng nổ của việc phát triển phần mềm và ứng dụng trong kỷ nguyên số hóa. Với sự phổ biến của DevOps, CI/CD và các phương pháp phát triển nhanh, số lượng phần mềm được phát hành ra thị trường tăng theo cấp số nhân. Mỗi phần mềm mới đều có tiềm năng chứa các lỗ hổng bảo mật, và việc phát hiện lỗ hổng cũng được tự động hóa nhiều hơn nhờ các công cụ quét bảo mật tiên tiến. Điều này tạo ra một chu trình không ngừng nghỉ trong việc phát hiện và báo cáo lỗ hổng mới.

Thêm vào đó, sự phát triển của trí tuệ nhân tạo và machine learning trong lĩnh vực bảo mật cũng góp phần làm tăng khả năng phát hiện lỗ hổng. Các công cụ AI hiện có thể phân tích mã nguồn và phát hiện các pattern có thể dẫn đến lỗ hổng bảo mật với tốc độ nhanh hơn nhiều lần so với con người. Tuy nhiên, khả năng xử lý và phân tích chất lượng của con người vẫn chưa thể theo kịp tốc độ phát hiện này, tạo ra khoảng cách ngày càng lớn giữa lượng dữ liệu đầu vào và khả năng xử lý.

Khuyến nghị bảo mật

Trước tình hình này, các tổ chức và doanh nghiệp cần chủ động xây dựng khả năng đánh giá lỗ hổng bảo mật độc lập thay vì phụ thuộc hoàn toàn vào điểm số CVSS của NIST. Cần đầu tư vào việc đào tạo đội ngũ chuyên gia bảo mật nội bộ, triển khai các công cụ quét lỗ hổng tự động và xây dựng quy trình đánh giá rủi ro phù hợp với môi trường cụ thể của tổ chức. Đồng thời, các doanh nghiệp nên thiết lập mối quan hệ chặt chẽ với các nhà cung cấp phần mềm để nhận được thông tin cập nhật nhanh nhất về các lỗ hổng bảo mật và bản vá tương ứng.