NIST ограничила обработку CVE после 263%-ного роста числа поступивших сообщений об уязвимостях

Национальный институт стандартов и технологий (NIST) объявил об изменениях в порядке обработки уязвимостей и угроз кибербезопасности, перечисленных в Национальной базе данных уязвимостей (NVD). Такое подход приняли в связи с резким увеличением количества сообщений о них. Увеличение превысил 263%.

«Уязвимости, не соответствующие этим критериям, по-прежнему будут включены в NVD, но не будут автоматически пополняться NIST. Это модификация обусловлено резким ростом числа сообщений о CVE, которое увеличилось на 263% в период с 2020 по 2025 год. Мы не ожидаем, что эта тренд ослабнет скоро», — говорится в заявлении.

Критерии приоритезации, изложенные NIST и вступившие в силу 15 апреля, следующие:

• уязвимости, содержащиеся в каталоге известных эксплуатируемых (KEV) Агентства по кибербезопасности и защите инфраструктуры США (CISA);

• уязвимости для программного обеспечения, используемого в федеральном правительстве;

• уязвимости CVE для критически важного программного обеспечения, как определено в указе президента № 14028: они включают программное обеспечение, предназначенное для работы с повышенными или управляемыми привилегиями, имеющее привилегированный доступ к сетевым или вычислительным ресурсам, контролирующее доступ к данным или операционным технологиям и работающее за пределами обычных границ доверия с повышенным доступом. 

Любая заявка на CVE, не соответствующая этим пороговым значениям, будет помечена как «Не запланировано». Как заявили в NIST, цель состоит в том, чтобы сосредоточиться на CVE, имеющих максимальный потенциал для широкомасштабного воздействия.

В NIST отметили, что количество заявок на CVE за первые три месяца 2026 года почти на треть выше, чем в прошлом году. Также сообщается, что в 2025 году было обработано почти 42 000 CVE, что на 45% больше, чем в любой предыдущий период.

В случаях, когда CVE с высоким уровнем риска классифицируется как незапланированная обработка, пользователи могут запросить обработку, отправив электронное письмо по адресу «nvd@nist[.]gov». Ожидается, что NIST рассмотрит эти запросы и запланирует обработку CVE в соответствии с необходимостью.

Равным образом были внесены изменения в различные другие аспекты работы NVD:

• NIST больше не будет регулярно предоставлять отдельную оценку серьёзности для CVE, если Управление по нумерации CVE уже предоставило её;

• изменённая CVE будет повторно проанализирована только в том случае, если она «существенно влияет» на данные обработки. Пользователи могут запросить повторный анализ конкретных CVE, отправив электронное письмо по указанному выше адресу;

• все незарегистрированные CVE, находящиеся в настоящее время в списке необработанных, с датой публикации в NVD раньше 1 марта 2026 года, будут перемещены в категорию «Не запланировано». Это не относится к CVE, которые уже находятся в каталоге KEV.

NIST обновил метки статуса и описания CVE, а равным образом панель мониторинга NVD, чтобы точно отражать статус всех уязвимостей и другую статистику в режиме реального времени.

«Объявление NIST не стало большим сюрпризом, с учётом, что ранее они заявляли о намерении перейти к модели приоритезации CVE на основе рисков», — заявила Кейтлин Кондон, вице-президент по исследованиям в области безопасности в VulnCheck.

Данные компании, занимающейся кибербезопасностью, показывают, что до сих пор существует приблизительно 10 000 уязвимостей 2025 года без оценки CVSS. По оценкам, NIST обновил 14 000 уязвимостей «CVE-2025», что составляет приблизительно 32% от общего их числа в 2025-м. 

«Это объявление подчёркивает то, что мы уже знаем: мы больше не живем в мире, где ручное обогащение новых уязвимостей является осуществимой или эффективной стратегией», — сказала Кондон.

Дэвид Линднер, основной специалист по информационной безопасности компании Contrast Security, заявил, что решение NIST отдавать приоритет только уязвимостям с высокой степенью риска знаменует конец эпохи, когда защитники могли использовать единую управляемую государством базу данных для оценки рисков безопасности, вынуждая организации переходить к проактивному подходу к управлению рисками, основанному на анализе угроз.

«Хотя этот переход может нарушить устаревшие рабочие процессы аудита, в конечном итоге он способствует развитию отрасли, требуя от нас приоритета фактической уязвимости над теоретической серьёзностью. Опора на тщательно отобранный набор полезных данных гораздо эффективнее для обеспечения национальной устойчивости, чем поддержание всеобъемлющего, но неуправляемого архива каждой незначительной ошибки», — сказал Линднер.

В апреле 2025 года вышел переработанный стандарт NIST 800–61r3 «Incident Response Recommendations and Considerations for Cybersecurity Risk Management» (Рекомендации и соображения по реагированию на инциденты для управления рисками в сфере кибербезопасности). Теперь все рекомендации по реагированию на инциденты разделены по шести функциям.