Национальный институт стандартов и технологий США, полная реформа операционной базы данных уязвимостей… начинается с усиления «высокорискованных CVE»

Американский институт стандартов и технологий(NIST) внес значительные изменения в работу базы данных уязвимостей(NVD). В будущем не будет осуществляться массовый анализ всех полученных общих уязвимостей(CVE), а вместо этого будет внедрена система “приоритизации на основе риска” для обработки уязвимостей с высоким фактическим риском.

Этот шаг обусловлен тем, что резко возросшее количество сообщений о CVE стало трудно обрабатывать существующими методами. По данным NIST, с 2020 по 2025 год количество поданных CVE увеличилось на 263%, а в первом квартале 2026 года количество заявок также выросло примерно на треть по сравнению с аналогичным периодом прошлого года. NIST объясняет, что несмотря на усиление около 42 000 CVE к 2025 году, что на 45% больше по сравнению с предыдущим годом, этого все равно недостаточно для того, чтобы справиться с ростом.

Отныне анализ начнется с “самых опасных уязвимостей”

Согласно новым стандартам, NIST будет приоритезировать только те CVE, которые соответствуют трем условиям. Включая: наличие в списке “известных эксплуатируемых уязвимостей”(CISA), включенном в список американского управления по кибербезопасности и инфраструктуре; влияние на программное обеспечение, используемое федеральным правительством США; а также влияние на продукты, связанные с “ключевым программным обеспечением” в рамках административного приказа №14028.

Особенно для уязвимостей, попавших в список KEV(CISA), цель — завершить усиление в течение одного рабочего дня после подачи заявки. CVE, не включенные в этот список, продолжат регистрироваться в NVD, но будут классифицированы как “без установленного срока”. В таких случаях риск-оценка и информация о продукте, используемые командой безопасности для определения приоритетов патчей, не будут автоматически добавляться.

Очистка накопленных задач с 2024 года

NIST также планирует одновременно очистить накопившуюся работу с начала 2024 года. В соответствии с этим, CVE, опубликованные в NVD до 1 марта 2026 года и не усиленные, будут переведены в категорию “без установленного срока”. Однако уязвимости, включенные в KEV, в этот процесс не входят.

Некоторые процессы также будут упрощены. Если организация(CNA) уже предоставила риск-оценку для CVE, NIST не будет пересчитывать ее заново. Кроме того, для уже измененных CVE повторный анализ не потребуется при каждом обновлении, за исключением случаев, когда изменения существенно влияют на данные усиления.

Искусственный интеллект считается причиной роста количества сообщений о уязвимостях

Несмотря на то, что NIST прямо не указывает, что искусственный интеллект(AI) является причиной, индустрия считает, что AI — один из ключевых факторов, способствующих росту CVE. Соучредитель и генеральный директор компании SlashID, специализирующейся на обнаружении и реагировании на угрозы идентичности, Винсензо Йоджо, заявил: “Рост числа подтвержденных отчетов о уязвимостях, обнаруженных AI”, — “Некоторые аналитики утверждают, что количество уязвимостей, о которых сообщили только за прошлый год, увеличилось более чем вдвое.”

Он оценил изменение политики как “разумную корректировку, поскольку наиболее важные категории продолжат обрабатываться”. Также он предсказал, что с улучшением возможностей больших языковых моделейLLM, организации смогут самостоятельно оценивать приоритеты и контекст уязвимостей, что со временем снизит зависимость от внешних “усиленных CVE”.

“Теперь нельзя просто ждать оценки CVE”

Главный технический директор RunSafe Security, Шейн Флей, отметил, что это объявление посылает четкий сигнал индустрии. Он заявил: “Это означает, что эпоха ожидания оценки CVE и реагирования после нее завершилась.”

Флей подчеркнул, что поскольку видимость уязвимостей по своей природе неполная, предприятия и организации не должны полагаться только на одну базу данных, а должны использовать множество источников информации о уязвимостях для более точной оценки. Он добавил, что также необходимо создавать системы защиты, которые смогут блокировать эксплойты даже до публикации патчей или официальных оценок, исходя из предположения, что в программном обеспечении могут существовать неизвестные уязвимости.

Эти реформы ближе к изменению рыночной структуры, чем к простым административным мерам. В условиях роста количества уязвимостей подход к одинаковому глубокому анализу всех проектов достиг предела, и NIST в конечном итоге переключился на приоритизацию по “уровню важности”. В области кибербезопасности в будущем важнее будет быстрое принятие решений, основанных на сочетании угроз, информации о активе и других факторов, а не просто ожидание оценки NVD.