Американский Национальный институт стандартов и технологий (NIST) пересматривает подход к обработке распространенных уязвимостей и подверженностей (CVE), занесенных в Национальную базу данных уязвимостей (NVD), в условиях быстро меняющейся среды угроз. Ранее программа NVD была нацелена на анализ всех поступающих CVE для добавления деталей — таких как оценки критичности и списки затронутых продуктов — чтобы помочь командам по кибербезопасности расставить приоритеты и устранить соответствующие уязвимости. Этот процесс в NIST называют «обогащением». Однако впредь обогащаться будут только те CVE, которые соответствуют заранее определенному набору критериев. Уязвимости, не прошедшие этот отбор, по-прежнему будут в списке, но получат пометку о низком приоритете. «Это изменение обусловлено всплеском числа заявок на CVE, который вырос на 263% в период с 2020 по 2025 год. Мы не ожидаем, что эта тенденция скоро ослабнет. Заявки за первые три месяца 2026 года почти на треть превышают показатели того же периода прошлого года», — говорится в заявлении NIST. «Мы работаем быстрее, чем когда-либо. В 2025 году мы обогатили почти 42 000 CVE — на 45% больше, чем в любой предыдущий год. Но этого роста производительности недостаточно, чтобы угнаться за растущим объемом заявок. Поэтому мы вводим новый подход». Власти надеются, что эти изменения позволят стабилизировать программу и выиграть время для разработки новых автоматизированных систем и улучшения рабочих процессов.
Приоритеты
Новые критерии вступили в силу в среду, 15 апреля, и следующие CVE получили наивысший приоритет: «Это позволит нам сосредоточиться на CVE с наибольшим потенциалом широкого воздействия. Хотя CVE, не соответствующие этим критериям, могут оказать значительное влияние на затронутые системы, они, как правило, не представляют такого же уровня системного риска, как те, что входят в приоритетные категории», — заявили в NIST. Организация признала, что новые критерии могут не выявить все потенциально критические уязвимости, поэтому пользователи смогут запрашивать пересмотр CVE с низким приоритетом для обогащения. В то же время NIST больше не будет автоматически предоставлять отдельную оценку критичности для CVE, которым она уже присвоена органом по нумерации CVE — такими фирмами, как Microsoft и другими, которые их подали. Это сделано для сокращения дублирования усилий и лучшей фокусировки ресурсов, хотя пользователи также могут запросить пересмотр конкретных CVE при необходимости. NIST также меняет порядок повторного анализа обогащенных CVE, которые были изменены после обогащения. Ранее переанализировались все измененные уязвимости, но теперь это будет происходить только в том случае, если NIST узнает об изменении, существенно влияющем на данные обогащения. Опять же, будет введена система запросов на пересмотр со стороны пользователей.
Отставание
Что касается значительного отставания по необработанным CVE, которое начало формироваться два года назад, NIST заявила, что не смогла его ликвидировать, и поэтому все отстающие CVE с датой публикации NVD до 1 марта 2026 года будут переведены в категорию «Не запланировано». CVE, попавшие в эту группу, будут рассмотрены для обогащения при условии, что они соответствуют новым критериям приоритизации. Наконец, NIST обновляет метки статуса и описания CVE, а также вносит изменения в панель мониторинга NVD (NVD Dashboard) для точного отражения этих изменений. Организация признала, что вносит серьезные изменения, которые затронут повседневных пользователей, однако подтвердила, что принятие подхода, основанного на риске, необходимо для управления всплеском заявок и выигрыша времени для создания новых систем, которые обеспечат устойчивость ее предложения в будущем. Дэнис Кальдероне, управляющий партнер и технический директор Suzu Labs, считает, что NIST, вероятно, приняла верное решение. «Пересмотр, безусловно, был необходим и, вероятно, неизбежен, учитывая объем новых заявок на CVE, и мы подозреваем, что обнаружение с помощью ИИ, вероятно, уже подталкивает это число вверх. В конце концов, Microsoft только что провела свой второй по величине Patch Tuesday, и даже ZDI сообщает, что их входящие заявки утроились благодаря инструментам ИИ», — сказал Кальдероне. «Мы рады видеть, что NIST сделала Kev (каталог CISA KEV) высшим приоритетным уровнем. Это правильное решение, и мы уже некоторое время делаем это для наших клиентов, поэтому мы очень рады видеть, что это становится официальной моделью». Однако Кальдероне раскритиковал некоторые предполагаемые пробелы в новой методологии NIST, в частности, прекращение выставления оценок CVE, если их уже присвоила подавшая заявку организация. «Это звучит эффективно, пока вы не вспомните, что подающая организация часто является самим вендором, а вендоры не всегда правильно оценивают свои собственные ошибки», — отметил он. «Мы только что столкнулись с этим с F5. Недавняя уязвимость BIG-IP в течение пяти месяцев оценивалась как 8.7 ВЫСОКАЯ как проблема отказа в обслуживании, прежде чем ее переклассифицировали как 9.8 RCE (удаленное выполнение кода). Для организаций, использующих CVSS для определения приоритета исправлений, эта неверная категоризация означала, что реальный риск находился в неправильной очереди в течение пяти месяцев, в то время как злоумышленники уже использовали ее». «Еще один недостающий момент здесь в том, что NIST решила проблему объема обработки, но не затронула методологию оценки. CVSS по-прежнему оценивает уязвимости изолированно. Он не моделирует цепочечность, когда злоумышленник объединяет раскрытие информации средней степени критичности с эскалацией привилегий средней степени критичности и в итоге получает критическое воздействие. Ни одна из ошибок по отдельности не оценивается как срочная, но вместе они дают полный компрометацию системы». Кальдероне заявил, что для руководителей служб безопасности, которые полагались на NVD как на основной источник контекста уязвимостей, настало время создавать собственные стеки приоритизации. Они могут включать данные из каталога Kev от CISA, информацию из Системы оценки прогнозирования эксплойтов (EPSS) и собственный контекст организации. «Дни ожидания, пока NIST сообщит вам, что важно, прошли», — заключил он.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton
