NIST riduce l'analisi delle vulnerabilità CVE per affrontare l'aumento delle segnalazioni

Un cambiamento necessario per gestire l'aumento delle vulnerabilità

Il National Institute of Standards and Technology (NIST) ha annunciato una revisione delle priorità del proprio National Vulnerability Database (NVD), limitando l'analisi approfondita delle vulnerabilità CVE a quelle considerate critiche per la sicurezza nazionale. La decisione risponde all'aumento esponenziale delle segnalazioni di difetti, che ha reso insostenibile il precedente sistema di gestione.

Nuove priorità per il NVD

D'ora in poi, il NIST si concentrerà esclusivamente sulle vulnerabilità CVE che rientrano in una delle seguenti categorie:

• Vulnerabilità presenti nel catalogo delle vulnerabilità sfruttate note dell'Cybersecurity and Infrastructure Security Agency (CISA);
• Software utilizzati dal governo federale statunitense;
• Software critici definiti nell'Executive Order 14028.

Queste misure mirano a garantire la sostenibilità a lungo termine del programma NVD, che ha già affrontato sfide significative, tra cui una sospensione temporanea dei finanziamenti all'inizio del 2024. Durante quel periodo, il NIST è stato costretto a interrompere la fornitura di metadati chiave per molte vulnerabilità, accumulando un ritardo che ancora non è stato colmato.

Un problema in crescita esponenziale

Il NIST ha analizzato quasi 42.000 vulnerabilità nel 2025, con un aumento del 263% delle segnalazioni CVE rispetto al 2020. La tendenza non accenna a diminuire: nei primi tre mesi del 2026, le segnalazioni sono già superiori di un terzo rispetto allo stesso periodo dell'anno precedente.

Un esempio emblematico è rappresentato da Microsoft, che ha risolto 165 vulnerabilità in un solo aggiornamento mensile, il secondo numero più alto mai registrato.

Impatto sulle vulnerabilità non prioritarie

Le vulnerabilità CVE che non rientrano nei nuovi criteri di priorità saranno comunque elencate nel NVD, ma non riceveranno un'analisi approfondita con dettagli aggiuntivi. Come spiegato dal NIST, questa scelta permetterà di concentrare le risorse sulle vulnerabilità con il potenziale impatto più ampio.

«Questo ci consentirà di focalizzarci sulle vulnerabilità con il maggiore potenziale di impatto diffuso. Quelle che non rientrano nei criteri potrebbero avere un impatto significativo sui sistemi interessati, ma generalmente non presentano lo stesso livello di rischio sistemico».

Reazioni del settore

La decisione del NIST è stata accolta con favore dagli esperti del settore, che da tempo segnalavano l'impossibilità di gestire l'enorme volume di segnalazioni con le risorse disponibili. Dustin Childs, responsabile della consapevolezza delle minacce presso Trend Micro’s Zero Day Initiative, ha dichiarato a CyberScoop:

«Era inevitabile che il NIST prendesse questa decisione. Era in ritardo nella classificazione delle vulnerabilità e probabilmente non avrebbe mai recuperato il tempo perso. Questo cambiamento permette loro di priorizzare il lavoro in modo più efficace».

Caitlin Condon, vicepresidente della ricerca sulla sicurezza presso VulnCheck, ha sottolineato come la priorizzazione rimanga un problema critico: «Troppi difensori dedicano tempo a vulnerabilità che non meritano la loro attenzione». Secondo i dati di VulnCheck, su oltre 40.000 vulnerabilità pubblicate nel 2025, solo l'1% (422) è stato sfruttato in natura.

Implicazioni per la comunità della sicurezza

La nuova strategia del NIST avrà un impatto significativo non solo sulla comunità dei ricercatori, ma anche sulle aziende private e sulle organizzazioni che dovranno affidarsi a fonti alternative per ottenere analisi dettagliate. Questo potrebbe portare a un aumento dell'autorità di attori privati nel campo della sicurezza informatica.