Аудит выявил проблемы в работе национальной базы уязвимостей США
Генеральный инспектор Министерства торговли США выявил проблемы в работе National Vulnerability Database, национальной базы уязвимостей США. Ее ведет NIST – Национальный институт стандартов и технологий. Из-за слабого планирования, ручных процессов и дублирования работы с CISA к концу 2025 года в базе накопилось более 27 тыс. необработанных уязвимостей.
National Vulnerability Database используется ИБ-командами, разработчиками и госструктурами для работы с уязвимостями. В базе собираются сведения о проблемах в программном обеспечении, а затем добавляются оценки опасности, данные о затронутых продуктах и другая информация, которая помогает понять, какие исправления устанавливать в первую очередь.
Проверка показала, что NIST не смог устойчиво обработать растущий поток уязвимостей. После сбоя с контрактом на обогащение данных в феврале 2024 года очередь необработанных записей стала быстро расти. По данным аудита, она увеличилась примерно с 13 тыс. в 2024 году до более чем 27 тыс. к концу 2025 года.
Проблема усугублялась тем, что NIST поставил нереалистичную цель – ликвидировать очередь к сентябрю 2024 года. Для этого нужно было обрабатывать около 6,2 тыс. уязвимостей в месяц, хотя раньше агентство никогда не обрабатывало более 5 тыс. записей в месяц.
Аудиторы установили, что часть работы выполнялась неэффективно. Аналитики тратили много времени на расчет оценок серьезности, хотя около 80% поступающих описаний уязвимостей уже содержали такие оценки. Кроме того, с мая 2024 года по декабрь 2025 года NIST и CISA продублировали работу как минимум в 21 тыс. случаев. CISA – Агентство по кибербезопасности и защите инфраструктуры США – отдельно развивает программу Vulnrichment для добавления данных к описаниям уязвимостей.
Для компаний задержки в NVD означают менее предсказуемую работу с исправлениями. Если запись долго остается без оценки серьезности, перечня затронутых продуктов или другого контекста, ИБ-командам сложнее понять, какие уязвимости закрывать в первую очередь.
Аудиторы рекомендовали NIST подготовить долгосрочный план работы NVD, определить реалистичный график очистки очереди, сократить лишнюю ручную работу и наладить взаимодействие с CISA. NIST согласился со всеми шестью рекомендациями и должен представить план действий к концу июля.
