NIST променя подхода си към оценката на уязвимости

Picture of Здравко Боджов
Здравко Боджов
Уязвимости

Ограничаване на анализа при по-нисък приоритет

National Institute of Standards and Technology (NIST) официално обяви съществена промяна в начина, по който обработва и обогатява информацията за уязвимости. От 15 април институцията ще спре да присвоява оценки за тежест (severity scores) на уязвимости с по-нисък приоритет, като част от стратегия за справяне с рязко нарастващия обем от подадени данни.

Какво се променя в National Vulnerability Database (NVD)

Базата данни ще продължи да регистрира всички подадени CVE записи. Разликата е, че само част от тях ще получават разширен анализ от NIST, включително:

  • оценка на тежестта (CVSS)
  • списък със засегнати продукти
  • класификация на слабостите
  • връзки към пачове и advisories

За останалите уязвимости ще се използва единствено оценката, предоставена от съответния CVE Numbering Authority (CNA), който е подал записа.

Критерии за приоритет

NIST ще обогатява само уязвимости, които попадат в една от следните категории:

  • Включени в каталога CISA Known Exploited Vulnerabilities Catalog
  • Засягат софтуер, използван от федералното правителство на САЩ
  • Свързани са с критичен софтуер съгласно Executive Order 14028

Този подход цели концентриране на ресурсите върху уязвимости с най-голям потенциал за системен риск.

Причината: експлозивен ръст на CVE записите

Според NIST, броят на подадените уязвимости е нараснал с 263% в последните години и продължава да се увеличава през 2026 г. Само през 2025 г. са обработени около 42 000 CVE записа, което надхвърля капацитета на организацията за детайлен анализ на всеки един от тях.

Рискове и ограничения на новия модел

NIST признава, че новата политика може да доведе до пропускане на някои значими уязвимости, които не попадат в приоритетните категории. За да смекчи този риск, институцията ще приема заявки за допълнителен анализ дори за „нископриоритетни“ CVE записи чрез директна комуникация.

Освен това, уязвимостите извън обхвата на приоритизация ще бъдат маркирани като “Not Scheduled”, което означава, че няма да получат допълнително обогатяване на този етап.

Влияние върху киберсигурността и индустрията

National Vulnerability Database е ключов ресурс за:

  • изследователи по сигурност
  • доставчици на софтуер
  • държавни агенции
  • IT специалисти и MSSP доставчици

Ограничаването на анализа може да увеличи зависимостта от външни източници и автоматизирани инструменти за оценка на риска. В същото време, това ще ускори реакцията при критични уязвимости, които представляват реална заплаха за инфраструктурата.

#CVE, # NIST, # NVD, # киберсигурност, # уязвимости
e-security.bg

Подобни

CISA предупреждава за активна експлоатация на уязвимост в SolarWinds Serv-U
8.06.2026
cisa
Cisco c активно експлоатирана 0-day уязвимост в Catalyst SD-WAN Manager
8.06.2026
cisco
Microsoft отстрани проблем, който инсталира драйвери на Windows
5.06.2026
microsoft
Критична уязвимост в Cisco Unified Communications Manager
5.06.2026
cisco
CISA предупреждава за активно експлоатирани уязвимости в Android и Linux
4.06.2026
cisa
Acer предупреждава за двe критични zero-day уязвимости в Wave 7
4.06.2026
Acer-Wave-7

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy