- Автор темы
- #1
В Национальном институте стандартов и технологий (National Institute of Standards and Technology, NIST) объявили, что меняют подход к обработке уязвимостей в базе National Vulnerability Database (NVD). С апреля 2026 года организация будет обогащать данными (присваивать оценки серьезности, определять затронутые продукты, добавлять описания и ссылки) только приоритетные записи CVE, а остальные останутся в базе без дополнительной аналитики.
Причиной для этого решения послужил взрывной рост количества заявок: с 2020 по 2025 год количество поступающих CVE увеличилось на 263%, и в первом квартале 2026 года темпы еще ускорились — заявок стало на треть больше, чем за аналогичный период прошлого года. Специалисты NIST признают, что больше не могут обрабатывать поток вручную, хотя в 2025 году они обогатили информацию почти о 42 000 CVE, что на 45% превышает показатели любого предыдущего года.
Представители организации пишут, что теперь обогащению подлежат только те CVE, которые соответствуют хотя бы одному из критериев:
Все необогащенные CVE из бэклога с датой публикации ранее 1 марта 2026 года тоже перейдут в категорию «Not Scheduled», если только они не фигурируют в каталоге KEV. Повторный анализ уже обработанных записей будет проводиться лишь при существенных изменениях. При этом любой желающий может запросить обогащение конкретной CVE, отправив письмо на адрес [email protected].
ИБ-эксперты отреагировали на новость неоднозначно. Кейтлин Кондон (Caitlin Condon), вице-президент по исследованиям в VulnCheck, отметила, что решение NIST не стало ни для кого сюрпризом, однако оно ставит в сложное положение организации, которые полагаются на NVD как на единственный источник данных об уязвимостях. По данным VulnCheck, около 10 000 уязвимостей 2025 года до сих пор не имеют оценки CVSS, а из всех CVE с префиксом «CVE-2025» были обогащены лишь порядка 32%.
Дэвид Линднер (David Lindner), CISO компании Contrast Security, назвал происходящее концом эпохи, когда защитники могли полагаться на единую базу для оценки рисков. По его словам, специалистам пора переключиться на каталог KEV и метрики эксплуатируемости проблем, сосредоточившись на реальных угрозах вместо теоретической серьезности каждого минорного бага.
Причиной для этого решения послужил взрывной рост количества заявок: с 2020 по 2025 год количество поступающих CVE увеличилось на 263%, и в первом квартале 2026 года темпы еще ускорились — заявок стало на треть больше, чем за аналогичный период прошлого года. Специалисты NIST признают, что больше не могут обрабатывать поток вручную, хотя в 2025 году они обогатили информацию почти о 42 000 CVE, что на 45% превышает показатели любого предыдущего года.
Представители организации пишут, что теперь обогащению подлежат только те CVE, которые соответствуют хотя бы одному из критериев:
- входят в каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV), который составляют эксперты CISA;
- затрагивают ПО, используемое федеральными ведомствами США;
- относятся к критически важному софту, согласно указу президента 14028 (софт с повышенными привилегиями, контролирующий доступ к данным или работающий за пределами стандартных границ доверия).
Все необогащенные CVE из бэклога с датой публикации ранее 1 марта 2026 года тоже перейдут в категорию «Not Scheduled», если только они не фигурируют в каталоге KEV. Повторный анализ уже обработанных записей будет проводиться лишь при существенных изменениях. При этом любой желающий может запросить обогащение конкретной CVE, отправив письмо на адрес [email protected].
ИБ-эксперты отреагировали на новость неоднозначно. Кейтлин Кондон (Caitlin Condon), вице-президент по исследованиям в VulnCheck, отметила, что решение NIST не стало ни для кого сюрпризом, однако оно ставит в сложное положение организации, которые полагаются на NVD как на единственный источник данных об уязвимостях. По данным VulnCheck, около 10 000 уязвимостей 2025 года до сих пор не имеют оценки CVSS, а из всех CVE с префиксом «CVE-2025» были обогащены лишь порядка 32%.
Дэвид Линднер (David Lindner), CISO компании Contrast Security, назвал происходящее концом эпохи, когда защитники могли полагаться на единую базу для оценки рисков. По его словам, специалистам пора переключиться на каталог KEV и метрики эксплуатируемости проблем, сосредоточившись на реальных угрозах вместо теоретической серьезности каждого минорного бага.