Nacionalinis standartų ir technologijų institutas (NIST) nebeteiks rimtumo balų žemesnio prioriteto pažeidžiamumui dėl didėjančio darbo krūvio, kurį sukelia augantis pateikimų kiekis.
Nuo balandžio 15 d. tarnyba analizuos ir teiks papildomą informaciją (pvz., sunkumo laipsnį, produktų sąrašus) tik apie saugumo problemas, kurios atitinka konkrečius kriterijus, susijusius su jų keliama rizika.
Nacionalinėje pažeidžiamumo duomenų bazėje (NVD) vis tiek bus išvardytos visos pateiktos pažeidžiamumo vietos, tačiau tiems, kurie laikomi žemu prioritetu, sunkumo laipsnį įvertins tik ją įvertinusi ir pateikusi CVE numeravimo tarnyba (CNA).
Šios savaitės pranešime nereguliacinė federalinė agentūra teigė, kad pateiks papildomos informacijos tik apie pažeidžiamumą, atitinkantį vieną iš šių kriterijų:
- yra CISA žinomų išnaudotų pažeidžiamumų (KEV) kataloge
- paveikti JAV federalinės vyriausybės programinę įrangą
- įtraukti svarbią programinę įrangą pagal vykdomąjį įsakymą 14028
NIST paaiškino, kad tokį sprendimą lėmė didelis paraiškų skaičius, kuris pastaruoju metu išaugo 263 %, o 2026 m. toliau spartėjo. 2025 m. organizacija praturtino 42 000 CVE, tačiau ji nebegali neatsilikti nuo didėjančios apimties.
NIST NVD yra vieša, centralizuota žinomų programinės ir aparatinės įrangos pažeidžiamumų duomenų bazė, kurioje taip pat pateikiami papildomi aprašymai ir analizė, kartu su unikaliais identifikatoriais (CVE ID), kuriuos priskyrė CNA, pvz., pardavėjai ir pelno nesiekianti MITER korporacija.
Praturtinant pažeidžiamumo detales, CVE įrašai gali būti naudojami rizikos valdymui, įskaitant sunkumo balų priskyrimą, paveiktų produktų versijų nustatymą, trūkumų klasifikavimą ir nuorodų į patarimus, pataisas ar susijusius tyrimus teikimą.
NIST NVD universaliai naudoja saugumo tyrinėtojai, programinės įrangos pardavėjai, vyriausybinės agentūros, IT specialistai, žurnalistai ir įprasti vartotojai, ieškantys daugiau informacijos apie konkrečią saugos problemą.
„Visi pateikti CVE vis tiek bus įtraukti į NVD. Tačiau tie, kurie neatitinka aukščiau nurodytų kriterijų, bus priskirti kategorijai „Nesuplanuoti“, – aiškina NIST.
„Tai leis mums sutelkti dėmesį į CVE, turinčius didžiausią plataus poveikio potencialą. Nors šių kriterijų neatitinkantys CVE gali turėti didelį poveikį paveiktoms sistemoms, jie paprastai nekelia tokio paties sisteminės rizikos kaip prioritetinėse kategorijose.”
NIST pripažįsta, kad naujosios taisyklės leidžia kai kuriems potencialiai didelio poveikio CVE praslysti. Dėl šios priežasties agentūra priima praturtinimo užklausas dėl „bet kokių žemiausio prioriteto CVE“ el. pašto žinutėmis adresu „[email protected]“.
Praturtėjimo trūkumas arba pastebimi vėlavimai buvo pastebimi nuo 2024 m., tačiau dabar organizacija oficialiai paskelbė, kad sutelks dėmesį į svarbiausius įrašus.
AI sujungė keturias nulio dienas į vieną išnaudojimą, kuris aplenkė tiek atvaizdavimo įrenginį, tiek OS smėlio dėžes. Ateina naujų išnaudojimų banga.
Autonominio patvirtinimo aukščiausiojo lygio susitikime (gegužės 12 ir 14 d.) pamatysite, kaip autonominis, daug konteksto patvirtinantis patvirtinimas randa tai, kas yra išnaudojama, įrodo, kad valdikliai galioja, ir uždaro taisymo kilpą.
