«Одной NVD уже недостаточно»: эксперты о последствиях изменения подхода NIST к обработке CVE

Национальный институт стандартов и технологий (The National Institute of Standards and Technology, NIST), ответственный за сопровождение американской национальной базы данных уязвимостей (NVD), меняет принцип работы. Теперь ведомство будет фильтровать поступающие сообщения об угрозах и уязвимостях согласно новой системе приоритизации и добавлять подробную информацию о тех или иных CVE, только если они проходят определенные критерии.

В NIST объясняют изменение радикально увеличившимся числом сообщений о киберугрозах: в период с 2020 по 2025 годы их число выросло на 263%, и в ведомстве не видят признаков того, что эта тенденция ослабнет. Число сообщений за первые три месяца 2026 года почти на треть выше, чем за тот же период прошлого года. «Мы работаем быстрее, чем когда-либо», — отмечают в NIST, указывая на то, что в 2025 году было обработано почти 42 тысячи CVE, что на 45% больше, чем в прошлом году.

«Но этого повышения производительности недостаточно, чтобы справиться с растущим объемом поступающих сообщений. Поэтому мы внедряем новый подход. Описанные ниже изменения позволят нам сосредоточиться на наиболее критических уязвимостях CVE», — следует из сообщения NIST.

Приоритет теперь будут отдавать следующим уязвимостям:

• CVE, включенные в каталог известных эксплуатированных уязвимостей (KEV) CISA;
• CVE для ПО, используемого в федеральном правительстве США;
• Уязвимости, касающиеся критически важного программного обеспечения.

Руководитель департамента аудита и консалтинга компании F6 Евгений Янов в комментарии SecPost отметил, что увеличение количества сообщений о CVE вызвано ростом внимания исследователей по всему миру к обнаружению уязвимостей и информационной безопасности в целом. «За пять лет заметно увеличилось количество программ Bug Bounty, а также размер вознаграждений за найденные уязвимости», — отмечает эксперт.

Янов отмечает, что в F6 чаще используют базу уязвимостей MITRE, чем NIST, а также БДУ ФСТЭК. Сейчас особой разницы между ними нет, отмечает эксперт — во всех трех базах одни и те же CVE со схожим описанием, везде можно посмотреть одну и ту же уязвимость.

«Новый подход NIST направлен на то, чтобы багхантеры активнее исследовали софт, используемый в США государственными структурами, и тем самым помогали повышать его общую защищенность», — подчеркивает эксперт.

По словам архитектора департамента «Информационная безопасность» «Рексофта» Даниила Левченко, российские ИБ-специалисты активно используют NVD/NIST, но в первую очередь как технический источник для управления уязвимостями: автоматического обогащения CVE, приоритизации рисков, интеграции со сканерами и SIEM. Эксперт подчеркивает: NVD не замена БДУ ФСТЭК, а другой класс защиты. БДУ ФСТЭК является официальным российским источником для регламентных задач, моделей угроз и комплаенса.

Сокращение обогащения CVE в NVD, по мнению Левченко, может повлиять на мировой рынок, сдвинув его в сторону фрагментации. Часть данных будет приходить с задержкой или без полной аналитики, так что компаниям придется сильнее опираться на собственные правила, коммерческие фиды и альтернативные источники.

«Для России эффект будет ощутим прежде всего у тех, кто строит процессы на импортируемых данных NVD. Для организаций, работающих по российским требованиям, БДУ ФСТЭК останется обязательным контуром», — подчеркивает Левченко.

Левченко дает сдержанно-позитивную оценку изменениям в NIST: шаг NIST выглядит вынужденным ответом на резкий рост числа CVE, но он ухудшает принцип «полная база для всех». «Практический вывод простой: одной NVD для качественного vuln management уже недостаточно», — считает эксперт.

Янов из F6 считает, что глобально перемены не повлияют на российский рынок — по крайней мере, на направление OffSec. Эксперт отмечает, что для исследователей сохраняется возможность репортить в базу уязвимостей MITRE и БДУ ФСТЭК, и эти CVE будут считаться валидными.