NIST beperkt analyse van beveiligingslekken tot hoogrisicovulnerabilities

De National Institute of Standards and Technology (NIST) heeft bekendgemaakt dat ze de analyse van beveiligingslekken in de National Vulnerability Database (NVD) gaat beperken. Deze wijziging is noodzakelijk omdat het aantal gerapporteerde vulnerabilities de afgelopen jaren exponentieel is gestegen, waardoor de capaciteit van NIST ontoereikend bleek.

Nieuwe prioriteiten voor de NVD

Vanaf nu zal NIST alleen nog vulnerabilities analyseren die voldoen aan één van de volgende criteria:

• Vulnerabilities die voorkomen in de Known Exploited Vulnerabilities Catalog van de Cybersecurity and Infrastructure Security Agency (CISA);
• Software die wordt gebruikt binnen de Amerikaanse federale overheid;
• Software die valt onder de definitie van kritieke software zoals vastgelegd in Executive Order 14028.

Deze aanpassing moet de duurzaamheid en stabiliteit van het NVD-programma waarborgen. Eerder kampten de databases met problemen, zoals een financiële stopzetting in 2024, waardoor NIST tijdelijk geen metadata meer kon toevoegen aan veel vulnerabilities. Sindsdien is er een aanzienlijke achterstand ontstaan die nog niet is weggewerkt.

Explosieve groei van vulnerabilities

NIST verwerkte vorig jaar bijna 42.000 vulnerabilities, een stijging van 263% sinds 2020. De verwachting is dat deze trend zich voortzet: in de eerste drie maanden van 2026 zijn er al 33% meer submissions dan in dezelfde periode vorig jaar. Zo meldde Microsoft recentelijk dat het 165 vulnerabilities heeft opgelost, het op één na grootste maandelijkse aantal ooit.

Vulnerabilities die niet voldoen aan de nieuwe criteria zullen wel in de NVD worden opgenomen, maar krijgen geen automatische verdiepende analyse. Volgens NIST is dit nodig om de focus te leggen op de meest risicovolle kwetsbaarheden. "Dit stelt ons in staat om ons te concentreren op vulnerabilities met het grootste potentieel voor wijdverspreide impact," aldus de organisatie.

Reacties uit de beveiligingssector

Experts uit de cybersecuritywereld zien de aanpassing als een logische stap. Dustin Childs, hoofd bedreigingsbewustzijn bij Trend Micro’s Zero Day Initiative, noemt de nieuwe aanpak onvermijdelijk: "Ze moesten iets doen. NIST liep hopeloos achter bij het classificeren van vulnerabilities en had de achterstand nooit kunnen inhalen."

Caitlin Condon, vicepresident beveiligingsonderzoek bij VulnCheck, benadrukt dat prioritering een blijvend probleem is. Van de meer dan 40.000 nieuwe vulnerabilities die VulnCheck vorig jaar registreerde, werd slechts 1% (422) daadwerkelijk in het wild misbruikt. "Te veel organisaties besteden tijd aan vulnerabilities die niet relevant zijn," aldus Condon.

Gevolgen voor de sector

De nieuwe aanpak van NIST heeft gevolgen voor zowel de vulnerability research community als voor bedrijven en organisaties. Door de focus op hoogrisicovulnerabilities zullen private partijen mogelijk meer verantwoordelijkheid moeten nemen in het analyseren en prioriteren van bedreigingen. Dit kan leiden tot een verschuiving waarbij bedrijven zelf meer bronnen inzetten om vulnerabilities te beoordelen.

NIST hoopt met deze maatregel de efficiëntie en effectiviteit van de NVD te verbeteren, zodat de meest urgente beveiligingsrisico’s sneller en beter worden aangepakt.