NIST indskrænker sårbarhedsanalyse for at håndtere stigende trusselsbølge

Det amerikanske standardiseringsinstitut NIST har erkendt, at det ikke længere kan følge med den stadigt stigende mængde af nye sikkerhedshuller. Instituttet annoncerede derfor en ændring i sin strategi for National Vulnerability Database (NVD), hvor man fremover kun vil prioritere analyser af de mest kritiske sårbarheder.

Nye prioriteringer for at sikre bæredygtighed

NIST vil fremover kun analysere sårbarheder, der:

• Er opført i CISA’s katalog over udnyttede sårbarheder,
• Findes i software anvendt af den amerikanske regering, eller
• Er klassificeret som kritisk software under Executive Order 14028.

Formålet med ændringen er at sikre en mere bæredygtig drift af NVD-programmet, som tidligere har været udfordret af blandt andet økonomiske problemer. I begyndelsen af 2024 måtte NIST midlertidigt stoppe leveringen af nøgledata for mange sårbarheder på grund af en finansieringspause. Selvom arbejdet er genoptaget, er der stadig en stor efterslæb af uanalyserede sårbarheder.

Stigende antal sårbarheder presser systemet

NIST behandlede sidste år næsten 42.000 sårbarheder, og antallet af indsendte CVE’er er steget med 263% siden 2020. Udviklingen forventes at fortsætte, da antallet af indsendelser i de første tre måneder af 2026 allerede er 33% højere end året før.

Eksempler på den stigende trussel ses hos store leverandører som Microsoft, der tirsdag løslod 165 nye sikkerhedshuller – det næststørste månedlige antal nogensinde.

Mindre kritiske sårbarheder vil stadig blive registreret

NIST understreger, at alle sårbarheder fortsat vil blive opført i NVD, men at de mindre kritiske ikke længere automatisk vil blive beriget med yderligere oplysninger. Dette gør det muligt for instituttet at fokusere på de sårbarheder, der udgør den største risiko for samfundet.

«Dette giver os mulighed for at koncentrere os om de sårbarheder, der har størst potentiel indvirkning på samfundet. Selvom mindre kritiske sårbarheder kan have betydelig indflydelse på de berørte systemer, udgør de sjældent den samme systemiske risiko som de prioriterede kategorier.»

NIST i en officiel meddelelse

Fagfolk bakker op om ændringen

Eksperter inden for sårbarhedsanalyse ser NIST’s nye tilgang som en nødvendighed. Dustin Childs, leder af trusselsbevidsthed hos Trend Micro’s Zero Day Initiative, udtaler:

«De måtte gøre noget. NIST var langt bagud med klassificeringen af sårbarheder og ville formentlig aldrig have indhentet det forsømte. Uanset om det var en herkulesopgave eller en sisyfosopgave, var de dømt til at fejle under det tidligere system. Denne ændring giver dem mulighed for at prioritere deres arbejde.»

Caitlin Condon, vicepræsident for sikkerhedsforskning hos VulnCheck, påpeger imidlertid, at prioriteringen fortsat er en udfordring:

«Der er fortsat for mange forsvarsaktører, der bruger tid på sårbarheder, der ikke er værd at prioritere. Sidste år registrerede vi over 40.000 nye sårbarheder, men kun 1% – altså 422 – blev faktisk udnyttet i praksis.»

Ændringen påvirker hele branche

NIST’s nye strategi vil ikke blot påvirke forskningsmiljøet, men også private virksomheder og organisationer. Forsvarere vil i højere grad skulle henvende sig til alternative kilder for at få fyldestgørende analyser af sårbarheder, der ikke længere prioriteres af NIST.