Команда, стоящая за Национальной базой данных уязвимостей США (National Vulnerability Database/NVD), не справляется с резким ростом их обнаружения, заявил высокопоставленный представитель Национального института стандартов и технологий США (NIST).
Со слов Гарольда Бута, специалиста по информатике из NIST, NVD пришлось внести оперативные корректировки в методику работы сотрудников, чтобы совладать с потоком информации: «Число сообщений о распространённых уязвимостях и угрозах (CVE) постоянно растёт — и поверьте, в NVD мы видим их все, но наши возможности недостаточны, поэтому и объём необработанных данных тоже постоянно увеличивается».
Таким образом, аналитики переходят к риск-ориентированному подходу, который будет определять приоритетность обработки и обогащения информации. Эта новая практика подразумевает рисковые шаги, включая отказ от стандартного управления всеми необработанными уязвимостями, о которых сообщалось до 1 марта.
Кроме того, NVD будет в первую очередь обрабатывать CVE, обнаруженные в ПО, используемом федеральными властями США, или включенные в список известных эксплуатируемых уязвимостей (KEV) Агентства по кибербезопасности и инфраструктуре США (CISA).
«Все представленные CVE по-прежнему будут добавляться в NVD. Однако те, которые не соответствуют вышеуказанным критериям, будут отнесены к категории "Не запланировано", — пояснил Бут. — Через уязвимости злоумышленники получают незаконный доступ к системе, и мы хотим закрыть эти дыры как можно быстрее, эффективнее и результативнее. Мы хотим сосредоточиться на важных уязвимостях, а не на второстепенных».
Согласно данным NIST, в последние годы наблюдается резкое увеличение количества сообщений о CVE — на 263% в период с 2020 по 2025 год. Здесь Гарольд Бут заявил, что NVD «работает быстрее, чем когда-либо», и в прошлом году обнаружил почти 42 тысяч CVE, что на 45% больше, чем в любой предыдущий год. Однако безопасники не могут угнаться за скоростью поступления сообщений о CVE.
Эксперт признал, что его команда также столкнулась с ростом числа идентификаторов Common Platform Enumeration (CPE), в основном из-за новых инструментов обнаружения уязвимостей, основанных на больших языковых моделях. Руководство NIST пытается разработать новые инструменты, чтобы найти выход из сложившейся ситуации, но признаётся в своем бессилии, поскольку принятые на сегодня методы отстают от требований времени.
Усам Оздемиров
