NIST сокращает анализ уязвимостей CVE для борьбы с растущим потоком дефектов

Национальный институт стандартов и технологий США (NIST) столкнулся с перегрузкой в процессе анализа уязвимостей. Агентство, наряду с другими регулирующими органами, не успевает обрабатывать растущий поток новых дефектов, количество которых увеличивается с каждым годом.

В среду NIST объявил о пересмотре приоритетов своей базы данных National Vulnerability Database (NVD). Теперь анализ будет проводиться только для уязвимостей, соответствующих следующим критериям:

• Уязвимости из каталога CISA Known Exploited Vulnerabilities;
• Программное обеспечение, используемое в федеральных органах власти США;
• Критичное программное обеспечение, определенное в Исполнительном приказе 14028.

Цель изменений — обеспечить долгосрочную устойчивость программы NVD и стабилизировать её работу. Ранее NIST столкнулся с серьёзными трудностями, включая приостановку финансирования в начале 2024 года, что привело к временному прекращению обновления метаданных для многих уязвимостей. На данный момент агентство не справилось с накопившимся объёмом необработанных записей CVE, который продолжает расти.

В 2025 году NIST проанализировал почти 42 000 уязвимостей, при этом количество submissions CVE выросло на 263% с 2020 года. «Мы не ожидаем, что эта тенденция изменится в ближайшее время. За первые три месяца 2026 года количество submissions уже на треть выше, чем за аналогичный период прошлого года», — сообщается в блоге NIST.

Ситуация с уязвимостями обостряется. Например, во вторник Microsoft устранила 165 уязвимостей — второй по величине ежемесячный пакет за всю историю компании.

Уязвимости, не соответствующие новым критериям NIST, по-прежнему будут отображаться в базе NVD, однако они не будут автоматически дополнены дополнительными данными. «Это позволит нам сосредоточиться на уязвимостях с наибольшим потенциалом масштабного воздействия», — пояснили в агентстве. «Хотя уязвимости, не отвечающие этим критериям, могут оказывать значительное влияние на отдельные системы, они, как правило, не представляют такой же системный риск, как уязвимости из приоритетных категорий».

«Им пришлось что-то делать. NIST отставал в классификации уязвимостей CVE и вряд ли когда-либо смог бы наверстать упущенное. Не знаю, была ли это геркулесова задача или сизифов труд, но в любом случае предыдущая система была обречена на провал. Эти изменения позволяют им приоритизировать свою работу».

Дастин Чайлдс, глава отдела осведомлённости о угрозах в Trend Micro’s Zero Day Initiative

Новый подход NIST окажет влияние не только на сообщество исследователей уязвимостей, но и на частные компании, которые получат больше полномочий в роли защитников. Как отметила Кейтлин Кондон, вице-президент по безопасности в VulnCheck, проблема приоритизации остаётся актуальной: слишком многие специалисты тратят время на уязвимости, не представляющие реальной угрозы. Из более чем 40 000 уязвимостей, зарегистрированных VulnCheck в прошлом году, только 1% (422) были зафиксированы в реальных атаках.

NIST также стремится сократить дублирующиеся усилия в области анализа уязвимостей.