Столкнувшись с растущим объемом уязвимостей в области безопасности, Национальный институт стандартов и технологий (NIST) объявил о значительных изменениях в подходе к обработке киберугроз и уязвимостей (CVE).
Вместо того чтобы обязываться предоставлять обогащение для всех записей в своей Национальной базе данных уязвимостей (NVD), агентство сосредоточится только на наиболее критичных CVE, что «позволит нам стабилизировать программу, пока мы разрабатываем автоматизированные системы и улучшения рабочего процесса, необходимые для долгосрочной устойчивости».
Начиная с немедленного вступления в силу, NIST сосредоточится на CVE, фигурирующих в каталоге CISA «Известные эксплуатируемые уязвимости» (KEV). «Наша цель — обогащать их в течение одного рабочего дня с момента получения», — заявило агентство.
К другим CVE с высоким приоритетом будут отнесены те, что касаются программного обеспечения, используемого в федеральном правительстве, и другого критически важного программного обеспечения.
Все остальные CVE по-прежнему будут добавляться в NVD, но получат категорию «не запланировано», что означает, что NIST больше не будет отдавать приоритет их обогащению.
Сломлено бэклогом
По данным NIST, бэклог CVE начал накапливаться в начале 2024 года, и агентство не смогло его ликвидировать из-за роста числа заявок.
По данным агентства, количество заявок выросло на 263% в период с 2020 по 2025 год, при этом в первом квартале 2026 года было зарегистрировано почти на треть больше уязвимостей, чем за тот же период прошлого года.
Агентство, которое обогатило почти 42 000 CVE в 2025 году, что на 45% больше, чем в любой предыдущий год, теперь сталкивается с общим бэклогом, превышающим 30 000 CVE, сообщил Гарольд Бут, технический руководитель и руководитель программы в NIST, на конференции по кибербезопасности VulnCon на этой неделе.
В результате NIST теперь откажется от обогащения всех уязвимостей, кроме самых критичных.
CVE, поступившие до 1 марта и попавшие в бэклог, также будут помечены как «не запланированные». NIST заявило, что ни одно из них не является критической уязвимостью, поскольку они всегда обрабатывались в первую очередь.
«Они просто публично заявили: „Мы никогда не разберем этот бэклог“», — сказал Дастин Чайлдс, руководитель отдела осведомленности об угрозах в Zero Day Initiative компании Trend Micro, изданию CSO.
Кроме того, NIST больше не будет рассчитывать оценки серьезности для CVE, по которым отчетная организация уже предоставила оценки.
Руководителям служб безопасности, полагающимся на обогащение данных NIST, необходимо будет провести инвентаризацию своих технологий, чтобы определить, подпадают ли они под приоритетный список NIST, отметил Чайлдс. Это непросто.
«Обнаружение — одна из самых сложных проблем, с которыми мы сталкиваемся», — заметил он, добавив, что также неясно, какое именно программное обеспечение попадает в приоритетную категорию. «Программное обеспечение, используемое федеральным правительством, — это очень расплывчатое заявление».
Растущее число CVE — на фоне роста обнаружения уязвимостей с помощью ИИ
Чайлдс не удивлен ростом числа CVE, называя ИИ одной из причин этого.
«Мы уже видим больше мусорных CVE — и больше реальных CVE — связанных с ИИ», — говорит он.
Работа с этими CVE станет огромной проблемой для компаний. «Люди по-прежнему не устанавливают исправления», — отмечает он. «И мы собираемся увеличить в четыре раза количество патчей, которые им придется развернуть. Как нам выстроить нашу защиту на всем предприятии? Я не знаю, успеем ли мы до того, как это сделают злоумышленники».
По данным Форума групп реагирования на инциденты и безопасности (FIRST), в этом году ожидается подача 59 427 CVE, что больше, чем чуть более 48 000 в 2025 году. Таким образом, 2026 год станет первым годом, когда число CVE превысит отметку в 50 000.
«Скорость обнаружения и эксплуатации уязвимостей беспрецедентна», — заявил генеральный директор FIRST Крис Гибсон изданию CSO.
FIRST также смоделировала «реалистичные сценарии», при которых общее число CVE превысит 100 000 в 2026 году — но это было в феврале, до того как Anthropic анонсировала Mythos, свою модель для поиска уязвимостей, которую многие предвидят как структурный сдвиг для индустрии кибербезопасности.
«И если это не Mythos, или что-то еще, что выходит сейчас, то что-то выйдет на следующей неделе», — сказал основатель Empirical Security Джей Джейкобс, который также возглавляет специальную группу по системе оценки предсказания эксплойтов (Exploit Prediction Scoring System) в FIRST.
Тем не менее, Джейкобс оптимистичен в отношении того, что обращение к технологиям поможет NIST справиться с растущим объемом CVE.
«Гарольд Бут обладает большим опытом и навыками работы с ИИ за последние несколько лет», — сказал Джейкобс CSO. «Поэтому я ожидаю, что он принесет свой опыт, и я надеюсь, что мы увидим какие-то новости об ИИ в этом направлении».
В список задач агентства входят как большие языковые модели, так и агенты ИИ, а также старомодная роботизированная автоматизация процессов (RPA), сообщил Бут в своей презентации на VulnCon, которую курирует Джейкобс. NIST также планирует делегировать часть работы органам по присвоению номеров CVE (CNA), к которым относятся поставщики решений по безопасности и исследователи.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Maria Korolov
