Національний інститут стандартів і технологій США, повністю реформує базу даних вразливостей… починаючи з посилення «високоризикових CVE»

Американський Національний інститут стандартів і технологій(NIST) здійснив суттєві зміни у способі роботи з базою даних вразливостей(NVD). Відтепер не буде масового аналізу всіх отриманих загальних вразливостей(CVE), а зосереджуватиметься увага на системі “відбір на основі ризику” для вразливостей з високим фактичним ризиком.

Це рішення ухвалене через стрімке зростання кількості поданих CVE, яке вже важко обробляти за існуючими методами. За даними NIST, з 2020 по 2025 рік кількість поданих CVE зросла на 263%, а у першому кварталі 2026 року кількість подань порівняно з минулим роком збільшилася приблизно на третину. NIST пояснює, що, хоча до 2025 року було посилено близько 42 000 CVE, що на 45% більше ніж попереднього року, цього все ще недостатньо для стримування зростання.

Відтепер аналіз починатиметься з “найнебезпечніших вразливостей”

Згідно з новими стандартами, NIST буде пріоритетно здійснювати “повне посилення” лише для CVE, що відповідають трьом умовам: включені до списку “відомих експлуатаційних вразливостей”(CISA), що впливають на програмне забезпечення федерального уряду США, а також що стосуються продуктів, пов’язаних із “ключовим програмним забезпеченням” у рамках адміністративного наказу №14028.

Зокрема, для вразливостей, що потрапили до списку KEV(CISA), ціль — завершити посилення протягом одного робочого дня після подання. Вразливості, що не входять до цього списку, будуть продовжувати реєструватися у NVD, але класифікуватимуться як “без визначеного терміну”. У таких випадках ризикова оцінка та інформація про продукт, які використовуються командою безпеки для визначення пріоритетів виправлень, автоматично не додаватимуться.

Очистка накопичених робіт з 2024 року

NIST також планує одночасно очистити накопичену з початку 2024 року роботу. За принципом, CVE, що були оприлюднені у NVD до 1 березня 2026 року, але ще не посилені, будуть переведені у статус “без визначеного терміну”. Однак вразливості, включені до списку KEV, у цю очистку не входять.

Деякі процеси також будуть спрощені. Якщо організація(CNA) сама надала оцінку ризику, NIST не буде повторно її обчислювати. Також для вже змінених CVE не буде повторного аналізу кожного оновлення, а лише у разі суттєвих змін, що впливають на дані посилення.

Штучний інтелект названий причиною зростання кількості звітів про вразливості

Хоча NIST прямо не вказує, що штучний інтелект(AI) є причиною, галузь вважає, що AI є одним із ключових факторів, що сприяють зростанню CVE. Співзасновник і головний виконавчий директор компанії SlashID, що займається виявленням і реагуванням на загрози, Винсент Йоджо, зазначив: “Збільшення кількості підтверджених звітів про вразливості, виявлених AI”, і “аналізи свідчать, що кількість вразливостей, повідомлених лише минулого року, зросла більш ніж удвічі.”

Він оцінив цю зміну політики як “розумну корекцію, оскільки найважливіші категорії залишаться у фокусі”. Також він прогнозує, що з покращенням можливостей великих мовних моделейLLM організації зможуть самостійно визначати пріоритетність і контекст вразливостей, зменшуючи залежність від зовнішніх “посилених CVE”.

“Тепер не можна просто чекати оцінки CVE”

Головний технічний директор RunSafe Security, Шейн Флей, підкреслив, що ця заява посилає чіткий сигнал галузі. Він зазначив: “Це означає, що ера очікування оцінки CVE перед реагуванням закінчилася.”

Флей наголосив, що, враховуючи, що видимість вразливостей за своєю природою є неповною, компанії та організації не повинні покладатися лише на одну базу даних, а мають використовувати кілька джерел інформації про вразливості для більш точної оцінки. Він додав, що слід також враховувати можливість існування невідомих вразливостей у програмному забезпеченні, які ще не оприлюднені, і створювати системи захисту, що здатні запобігати їх експлуатації навіть до офіційного випуску патчів або оцінок.

Ці реформи більше нагадують зміну ринкової структури, ніж просту адміністративну корекцію. У контексті зростання кількості вразливостей підхід до рівномірного глибокого аналізу всіх проектів вже досяг межі. В результаті NIST зосереджується на пріоритетах, орієнтованих на “пріоритетність”. У сфері безпеки в майбутньому важливішим стане швидке оцінювання з урахуванням загроз і активів, ніж просто очікування оцінки NVD.