На прошлой неделе западные ИБ-шники активно обсуждали очередное заявление руководителей NIST NVD, что "у них лапки", и они будут обогащать ещё меньше уязвимостей. Хотя, казалось бы куда уж меньше. 😏 Суть обращения, опубликованного NIST 15 апреля, в том, что из-за резкого роста числа CVE они меняют подход к ведению National Vulnerability Database: вместо анализа всех уязвимостей база переходит на риск-ориентированную модель. Полноценно обогащаться будут только приоритетные уязвимости:
🔥 уже эксплуатируемые (из каталога CISA KEV) - обещают обрабатывать за сутки
🏛️ относящиеся к ПО, используемому в госсекторе США (федеральным правительством)
🛠️ относящиеся к критическому ПО, определённому в Executive Order 14028
Остальные CVE останутся в базе, но получат низкий приоритет и будут долго оставаться без детального анализа. При этом NVD отказываются от дублирования CVSS-оценок (если CVSS пришёл от CNA, ему будут доверять, а свой CVSS рассчитывать не будут), будут реже перерабатывать записи, по которым изменилась ситуация, и фактически законсервируют накопившийся бэклог, чтобы сосредоточиться на наиболее опасных уязвимостях ценой снижения полноты и единообразия данных по остальным.
В целом, у меня такие новости вызывают сплошные фейспалмы. 🤦♂️ От NIST, которые, по-видимому, разогнали всех адекватных IT/ИБ-специалистов и превратились в синекуру для бюрократов, тратящих огромное финансирование непонятно на что. От CISA, которые не могут навести порядок в базовом ИБ-сервисе, критичном и для США, и для мира в целом. От американской администрации, которая тратит совершенно астрономические суммы на дикие геополитические прожекты, но совершенно не заботится о том, что происходит (разваливается) у них дома. MAGA? Лол, что? 😅
Ну а в практическом плане это означает, что если вы полагаетесь ТОЛЬКО на бесплатную NVD, то совершаете фатальную ошибку. Адекватность этой базы год от года стремительно снижается. Учитывайте альтернативные источники: Vulners, DBugs, VulnCheck, GCVE, БДУ ФСТЭК и прочие. Единственной мировой базы уязвимостей больше нет.
Ниже привожу полный перевод сообщения NIST.
NIST обновляет операции NVD для реагирования на рекордный рост CVE
Новая модель, основанная на рисках, позволит NIST управлять текущим объемом CVE, одновременно модернизируя NVD для долгосрочной устойчивости.
15 апреля 2026
NIST меняет способ обработки уязвимостей и экспозиций кибербезопасности, или CVE, перечисленных в National Vulnerability Database (NVD). Ранее программа NVD NIST стремилась анализировать все CVE, чтобы добавлять детали, такие как оценки критичности и списки продуктов, которые помогают специалистам по кибербезопасности приоритизировать и устранять уязвимости. В дальнейшем NIST будет добавлять детали, или "обогащать", только те CVE, которые соответствуют определенным критериям, описанным ниже. CVE, которые не соответствуют этим критериям, по-прежнему будут включены в NVD, но будут помечены как "низший приоритет" ("lowest priority") и не будут немедленно обогащаться NIST.
Это изменение вызвано резким ростом числа CVE, которые увеличились на 263% в период с 2020 по 2025 год. Мы не ожидаем, что эта тенденция скоро замедлится. Количество заявок за первые три месяца 2026 года почти на треть выше, чем за тот же период прошлого года.
Мы работаем быстрее, чем когда-либо. В 2025 году мы обогатили почти 42 000 CVE, что на 45% больше, чем в любом предыдущем году. Однако этого повышения производительности недостаточно, чтобы успевать за ростом количества заявок. Поэтому мы внедряем новый подход. Описанные ниже изменения позволят нам сосредоточиться на наиболее критичных CVE, одновременно обеспечивая прозрачность управления текущей нагрузкой. Они также позволят стабилизировать программу, пока мы разрабатываем автоматизированные системы и улучшения рабочих процессов, необходимые для долгосрочной устойчивости.
Критерии новой приоритизации
Начиная с 15 апреля 2026 года мы будем приоритизировать следующие CVE для обогащения:
🔹 CVE, появляющиеся в каталоге известных эксплуатируемых уязвимостей CISA (KEV). Наша цель — обогащать их в течение одного рабочего дня после получения.
🔹 CVE для программного обеспечения, используемого в федеральном правительстве CVE
🔹 CVE для критически важного программного обеспечения, как определено Executive Order 14028.
Все отправленные CVE по-прежнему будут добавляться в NVD. Однако те, которые не соответствуют критериям выше, будут классифицированы как "низший приоритет - не запланированы для немедленного обогащения". Это позволит нам сосредоточиться на CVE с наибольшим потенциальным воздействием широкого масштаба ("with the greatest potential for widespread impact"). Хотя CVE, не соответствующие этим критериям, могут иметь значительное влияние на затронутые системы, они, как правило, не несут такого же уровня системного риска, как приоритетные категории.
Эти критерии могут не учитывать каждую потенциально критичную CVE. Поэтому пользователи могут запросить обогащение любых CVE низшего приоритета, отправив письмо на nvd@nist.gov. Мы рассмотрим такие запросы и запланируем обогащение CVE по мере наличия ресурсов.
Полное определение критического программного обеспечения и описание нового рабочего процесса, включая порядок обработки очереди, доступно на сайте NVD.
Упрощение оценок критичности. До настоящего времени NIST предоставлял собственную оценку критичности для всех отправленных CVE, даже если CVE Numbering Authority, уже предоставил такую оценку. В дальнейшем мы больше не будем регулярно предоставлять отдельную оценку критичности для таких CVE. Это уменьшит дублирование работы и позволит более эффективно использовать ресурсы. Пользователи могут запросить отдельную оценку критичности для конкретных CVE, отправив письмо на указанный выше адрес.
Обработка измененных CVE. Мы изменяем процесс повторного анализа обогащенных CVE, которые были изменены после обогащения. Ранее мы пересматривали все измененные CVE, теперь мы будем делать это только в случае, если нам известно об изменении, которое существенно влияет на данные обогащения. Пользователи могут запросить повторный анализ конкретных измененных CVE, отправив письмо на указанный выше адрес. В связи с этим изменением все CVE, помеченные как отложенные в прошлом году (см. 2 апреля 2025: общее объявление NVD), будут переведены в статус "Изменено после обогащения" ("Modified After Enrichment"). Из-за большого количества CVE мы будем переклассифицировать их партиями в течение следующих двух недель.
Бэклог CVE. Начиная с начала 2024 года в NVD сформировался значительный бэклог необогащенных CVE. К сожалению, нам не удалось его устранить, в том числе из-за растущего темпа поступления заявок. Поэтому при внедрении новых критериев приоритизации, описанных выше, мы переведем все накопленные CVE с датой публикации в NVD ранее 1 марта 2026 года в категорию "Не запланировано" ("Not Scheduled"). Мы будем рассматривать возможность обогащения этих уязвимостей, применяя новые критерии приоритизации, по мере наличия ресурсов. (Обратите внимание, что отставание не включает CVE из каталога KEV, так как мы всегда приоритизировали их, следуя нашему давнему подходу управления рисками).
Новые статусные метки и другая информация. Для более понятной коммуникации статусов CVE мы обновляем метки и описания статусов CVE. Дополнительная информация доступна на странице статусов CVE. Дополнительные сведения о новом процессе доступны на странице процесса CVE и NVD. Также мы обновили панель управления NVD, чтобы в реальном времени отображать статус всех CVE и другую статистику NVD.
Мы понимаем, что эти изменения повлияют на наших пользователей. Однако такой подход, основанный на рисках, необходим для управления текущим ростом числа CVE-заявок, пока мы работаем над согласованием наших усилий с потребностями сообщества NVD. Этот переход также позволяет нам выделить ресурсы, необходимые для разработки автоматизированных систем и улучшений рабочих процессов, которые обеспечат долгосрочную устойчивость программы. Мы с нетерпением ожидаем возможности объявить об этих улучшениях по мере их внедрения.
NIST привержен поддержанию NVD как критически важного компонента национальной инфраструктуры кибербезопасности. Развивая NVD для решения современных задач, мы можем обеспечить, чтобы база данных оставалась надежным, устойчивым и публично доступным источником информации об уязвимостях в области кибербезопасности. Мы ценим дальнейшее сотрудничество с нашими партнерскими агентствами и пользовательским сообществом при внесении этих необходимых изменений.
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно и моих проектах можете прочитать здесь. Приглашаю подписаться на мой канал @avleonovrus "Управление Уязвимостями и прочее" в MAX или в Telegram. Вы можете обсудить мои посты или задать вопросы в группе ВКонтакте.
And I invite all English-speaking people to another Telegram channel @avleonovcom.