NIST begrenser sårbarhetsanalyser for å takle eksplosiv økning i sikkerhetsfeil

NIST justerer prioriteringer i møte med voksende trusselbilde

Den amerikanske organisasjonen National Institute of Standards and Technology (NIST) har besluttet å begrense omfanget av analyser i sin Nasjonal Sårbarhetsdatabase (NVD). Endringen skyldes en eksplosiv økning i antall rapporterte sikkerhetsfeil, som har blitt umulig å håndtere innenfor dagens rammer.

Nye prioriteringer for sårbarhetsanalyser

Fra nå av vil NIST kun prioritere analyse av sårbarheter som:

• Er inkludert i CISA’s liste over utnyttede sårbarheter (Known Exploited Vulnerabilities Catalog),
• Berører programvare brukt av den amerikanske regjeringen, eller
• Defineres som kritisk programvare under Executive Order 14028.

Denne tilnærmingen skal sikre langsiktig bærekraft og stabilitet i NVD-programmet, som har vært under press de siste årene. Blant utfordringene har vært en finansieringsstans tidlig i 2024, som førte til midlertidig stans i leveringen av viktige metadata for mange sårbarheter. Selv etter gjenopptakelsen av arbeidet, har NIST fortsatt en stor baklogg med ubehandlede sårbarheter.

Eksplosiv vekst i rapporterte feil

NIST analyserte nærmere 42 000 sårbarheter i fjor, og antallet innsendte CVE-rapporter har økt med 263 prosent siden 2020. Trenden forventes å fortsette, og allerede i første kvartal 2026 er innsendelsene 33 prosent høyere sammenlignet med samme periode i fjor.

Eksempler på omfanget av problemet er tydelige: Microsoft rapporterte nylig om 165 sikkerhetsfeil på én dag – det nest største månedlige antallet noensinne.

Mindre detaljer for ikke-prioriterte sårbarheter

Sårbarheter som ikke faller inn under de nye prioriteringene vil fortsatt bli listet i NVD, men vil ikke automatisk bli beriket med tilleggsinformasjon. Dette skal gjøre det mulig for NIST å fokusere på de sårbarhetene som har størst potensial for stor påvirkning.

«Dette vil tillate oss å konsentrere oss om de CVE-ene som har størst potensial for bred påvirkning. Selv om andre sårbarheter kan ha betydelig innvirkning på berørte systemer, utgjør de vanligvis ikke samme nivå av systemisk risiko som de prioriterte kategoriene.»

Reaksjoner fra sikkerhetseksperter

Endringen har blitt møtt med forståelse fra sikkerhetseksperter, som mener NIST ikke hadde noe annet valg enn å justere tilnærmingen.

«De måtte gjøre noe. NIST var betydelig bakpå i klassifiseringen av CVE-er og ville sannsynligvis aldri ha kommet seg på rett kjøl igjen. Enten det var en herkulesoppgave eller en sisyfosoppgave, var de dømt til å mislykkes under det gamle systemet. Denne endringen lar dem prioritere arbeidet sitt.»

Caitlin Condon, visepresident for sikkerhetsforskning i VulnCheck, har tidligere påpekt at prioritering fortsatt er et stort problem. Av over 40 000 nye sårbarheter som ble katalogisert i fjor, ble kun 1 prosent (422 stk.) utnyttet i praksis.

Konsekvenser for sikkerhetsmiljøet

NISTs nye strategi vil ikke bare påvirke forskningsmiljøet, men også private selskaper og organisasjoner. Forsvarere vil måtte søke alternative kilder for informasjon, noe som kan gi private aktører større innflytelse i trusselbildet.

Endringen markerer et viktig skifte i hvordan sårbarheter håndteres på nasjonalt nivå, og setter søkelyset på behovet for mer effektive metoder i en tid med stadig økende trusselbilde.