| 0 |
|
Національний інститут стандартів і технологій США (NIST) змінює підхід до обробки даних про вразливості та ризики кібербезпеки (CVE), внесених до Національної бази даних вразливостей (NVD). Раніше програма NVD мала на меті аналізувати всі CVE для додавання деталей, таких як оцінка серйозності та списки продуктів, що допомагають фахівцям із кібербезпеки визначати пріоритетність та усувати вразливості. Надалі NIST додаватиме деталі (або «збагачуватиме») лише ті CVE, які відповідають певним критеріям, наведеним нижче. CVE, що не відповідають цим критеріям, все одно будуть внесені до NVD, але не будуть автоматично збагачуватися NIST.
Ці зміни зумовлені сплеском поданих заявок на CVE, кількість яких зросла на 263% у період з 2020 по 2025 рік. Й не очікується, що ця тенденція сповільниться найближчим часом. Кількість заявок за перші три місяці 2026 року майже на третину перевищує показник за аналогічний період минулого року.
У 2025 році було збагачено майже 42 000 CVE - на 45% більше, ніж у будь-який попередній рік. Але такої продуктивності недостатньо, щоб встигати за зростанням кількості заявок. Тому впроваджується новий підхід. Зміни дозволять зосередитися на найбільш критичних CVE, зберігаючи прозорість управління поточним навантаженням. Вони також допоможуть стабілізувати програму, поки розробляються автоматизовані системи та вдосконалюються робочі процеси для довгострокової стійкості проєкту.
Починаючи з 15 квітня 2026 року, NIST надаватимемо пріоритет збагаченню наступних CVE:
CVE, що з'являються в каталозі відомих експлуатованих вразливостей (KEV) CISA. Мета - збагатити їх протягом одного робочого дня з моменту отримання.
CVE для програмного забезпечення, що використовується у федеральному уряді.
CVE для критично важливого ПЗ, згідно з визначенням Виконавчого указу 14028.
Усі подані CVE, як і раніше, додаватимуться до NVD. Проте ті, що не відповідають вищезазначеним критеріям, отримають статус «Not Scheduled» (Не заплановано). Це дозволить зосередитися на вразливостях із найбільшим потенціалом масштабного впливу. Хоча CVE поза цими критеріями можуть суттєво впливати на окремі системи, вони зазвичай не несуть такого рівня системного ризику, як пріоритетні категорії.
Проте ці критерії можуть не охопити кожну потенційно небезпечну вразливість. Користувачі можуть надіслати запит на збагачення будь-якої незапланованої CVE електронною поштою на адресу [email protected].
Дотепер NIST надавав власну оцінку серйозності для всіх поданих CVE, навіть якщо організація (CNA), що надіслала вразливість, вже надала таку оцінку. Надалі NIST більше не буде рутинно надавати окрему оцінку серйозності для таких CVE. Це зменшить дублювання зусиль і дозволить ефективніше використовувати ресурси. Користувачі можуть запросити окрему оцінку для конкретних CVE через електронну пошту.
NIST змінює процес повторного аналізу вже збагачених CVE, які були модифіковані згодом. Раніше переглядались всі змінені записи, тепер же це робитиметься лише у разі виявлення змін, що суттєво впливають на дані збагачення. Через ці зміни всі CVE, позначені минулого року як «відкладені», будуть переведені у категорію «Modified After Enrichment» (Змінено після збагачення) поетапно протягом наступних двох тижнів.
З початку 2024 року у NVD накопичилася значна черга незбагачених CVE. На жаль, NIST не вдалося її ліквідувати через темпи надходження нових заявок. Тому з впровадженням нових критеріїв усі CVE з датою публікації до 1 березня 2026 року, що знаходяться в черзі, будуть переведені в категорію «Not Scheduled». Можливість їх збагачення буде розглянута за наявності ресурсів. Однак це не стосується вразливостей з каталогу KEV CISA.
Для кращого інформування оновлюються назви статусів CVE та їхні описи. Деталі доступні на сторінці статусів CVE. Також оновлена Панель керування NVD (NVD Dashboard) для точного відображення статусів усіх вразливостей та іншої статистики в режимі реального часу.
Зазначено, ці зміни вплинуть на користувачів. Однак такий підхід, заснований на ризиках, необхідний для управління поточним сплеском заявок. NIST залишається відданим підтримці NVD як критично важливого компонента інфраструктури кібербезпеки країни.
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
