Tuesday, August 16, 2005

National Vulnerability Database

I learned today cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Vulnerability Database (NVD) has replaced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old NIST ICAT system. The NVD describes itself this way:

"NVD is a comprehensive cyber security vulnerability database that integrates all publicly available U.S. Government vulnerability resources and provides references to industry resources. It is based on and synchronized with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE vulnerability naming standard."

There's a link to a workload index, whose URL includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "threatindex" (groan). On that page we read:

"Workload Index Information

This index calculates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of important vulnerabilities that information technology security operations staff are required to address each day. The higher cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greater cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workload and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greater cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general threat represented by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities."

I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last sentence should instead read:

"The higher cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greater cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workload and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greater cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general risk represented by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities."


I am not sure what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Open Source Vulnerability Database (OSVDB) thinks of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NVD. There is a blog posting about NVD, but no commentary by OSVDB members. I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSVDB needs to remain as a place that is independent of US government control. If a truly severe vulnerability is found, who is more likely to publish it first -- nvd.nist.gov or www.osvdb.org?

On a note related to vulnerabilities, here is a list of vulnerability or attack description projects.

These are papers on related subjects:

3 comments:

Anonymous said...

What would scare me most about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .gov providing this service is how judicious cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may be with posting and announcing vulnerabilities. Will cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y be subject to US companies with clout enough to tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to take a vulnerability off? Will cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DHS use this as part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir way to control cyberterror by not publihing vulnerabilities that are not patched yet? Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may get general media lashback about providing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools to 'hackers' cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are trying to protect from...

-- LonerVamp

Anonymous said...

Hi Richard,

I wonder if you could post some more on why you groan about 'threat index' as a security term.

I too have disliked this term 'threat', sincce I feel it's impossible to measure intent. I prefer to think in terms of 'vulnerabilities' and 'exploits' which are much more measurable IMHO - and I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word 'threat' is damaging security thinking every time it's used.

Would love to hear your expanded thoughts on this.

Richard Bejtlich said...

Hello,

Many times I see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "threat" used improperly. Search cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog for "threat" and you'll find many old posts.

A vulnerability is not a threat. A vulnerability is a component of risk, hence my replacement of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "threat" with "risk" in my suggested replacement sentence.