cyberbezpieczeństwo NIST CISA zagrożenia cybernetyczne luki bezpieczeństwa bezpieczeństwo NVD CVE analiza podatności

NIST rezygnuje z kompleksowej analizy wszystkich luk

Amerykańska Narodowa Instytucja Standaryzacji i Technologii (NIST) ogłosiła, że ogranicza zakres analizy luk bezpieczeństwa w swojej bazie National Vulnerability Database (NVD). Decyzja wynika z przytłaczającej liczby nowych podatności, z którymi agencja nie jest w stanie nadążyć. Od teraz NIST będzie priorytetowo traktować jedynie te luki, które:

  • znajdują się w katalogu CISA Known Exploited Vulnerabilities,
  • są wykorzystywane w systemach federalnych,
  • zostały uznane za krytyczne oprogramowanie na mocy rozporządzenia wykonawczego 14028.

Cel: stabilizacja i długoterminowa efektywność

Zmiana ma na celu przywrócenie stabilności programu NVD, który borykał się z poważnymi problemami, w tym przerwą w finansowaniu na początku 2024 roku. W jej trakcie NIST tymczasowo wstrzymał dostarczanie kluczowych metadanych dla wielu luk w bazie danych. Pomimo wznowienia pracy, agencja wciąż zmaga się z zaległościami w analizie nieocenionych CVE.

W ubiegłym roku NIST przeanalizował blisko 42 tysiące podatności, a liczba zgłoszeń CVE wzrosła o 263% od 2020 do 2025 roku. „Nie spodziewamy się, że ten trend osłabnie w najbliższym czasie. W pierwszych trzech miesiącach 2026 roku liczba zgłoszeń jest o prawie jedną trzecią wyższa niż w analogicznym okresie ubiegłego roku” – czytamy w oświadczeniu agencji.

Nowa strategia: mniej luk, większe zagrożenia

Luki, które nie spełniają nowych kryteriów, nadal będą widnieć w bazie NVD, jednak nie będą automatycznie uzupełniane o dodatkowe informacje. „Pozwoli nam to skupić się na podatnościach o największym potencjale wpływu na bezpieczeństwo systemów” – wyjaśnia NIST. „Choć niektóre luki spoza priorytetowych kategorii mogą mieć poważne konsekwencje dla konkretnych systemów, rzadko stanowią one takie samo zagrożenie systemowe jak te z naszych priorytetowych obszarów.”

Reakcje ekspertów: zmiana była nieunikniona

Eksperci ds. bezpieczeństwa uznają nową strategię NIST za konieczną. „Musieli coś zrobić. NIST był daleko w tyle z klasyfikacją CVE i prawdopodobnie nigdy by nie nadrobił zaległości” – komentuje Dustin Childs, szef ds. świadomości zagrożeń w Trend Micro’s Zero Day Initiative. „Niezależnie od tego, czy to herkulesowe, czy syzyfowe zadanie, poprzedni system skazywał ich na porażkę. Ta zmiana pozwala im skupić się na najważniejszych zagrożeniach” – dodaje.

Zmiana wpłynie nie tylko na społeczność badawczą zajmującą się podatnościami, ale także na prywatne firmy i organizacje, które będą musiały szukać alternatywnych źródeł informacji. Caitlin Condon, wiceprezes ds. badań bezpieczeństwa w VulnCheck, podkreśla, że problem priorytetyzacji pozostaje aktualny: „Zbyt wielu obrońców koncentruje się na podatnościach, które nie są warte ich czasu”. Według danych VulnCheck, spośród ponad 40 tysięcy nowo opublikowanych luk w ubiegłym roku, jedynie 1% (422 podatności) zostało rzeczywiście wykorzystanych w atakach.

NIST dąży do ograniczenia nadmiarowych działań

Agencja zamierza również zredukować duplikację wysiłków w zakresie analizy podatności. Nowa strategia ma na celu zwiększenie efektywności i skupienie zasobów na najbardziej krytycznych zagrożeniach, co jest odpowiedzią na lawinowy wzrost liczby nowych luk bezpieczeństwa.

Źródło: CyberScoop
ChatGPT zachwyca się „muzyką” z odgłosów pierdnięć – czy AI naprawdę ocenia nasze pomysły uczciwie?
← Poprzedni

ChatGPT zachwyca się „muzyką” z odgłosów pierdnięć – czy AI naprawdę o...

 Bezzałogowy czołg sterowany zdalnie – nowa era wojskowości?
Następny →

Bezzałogowy czołg sterowany zdalnie – nowa era wojskowości?