Национальный институт стандартов и технологий США (NIST) объявил о радикальном пересмотре правил обработки уязвимостей в Национальной базе данных уязвимостей (National Vulnerability Database, NVD). Отныне полное обогащение (например, присвоение оценок CVSS, категоризация, дополнительная аналитика) будет выполняться только для тех записей CVE, которые удовлетворяют ряду приоритетных критериев. Остальные уязвимости по‑прежнему будут отображаться в NVD, но без автоматического детального обогащения со стороны NIST.
Почему NIST меняет правила обработки CVE в NVD
NIST напрямую связывает эти изменения с резким ростом числа уязвимостей. По данным института, объём поступающих записей CVE увеличился на 263% в период с 2020 по 2025 год, и тенденция к росту сохраняется. Только за 2025 год NIST успел обогатить почти 42 000 CVE-записей, что примерно на 45% больше, чем в любой предыдущий год.
При этом нагрузка продолжает расти: в первые три месяца 2026 года количество новых уязвимостей оказалось почти на треть выше, чем за тот же период годом ранее. В этих условиях модель «обогащаем всё подряд» перестала быть масштабируемой и управляемой даже для такой организации, как NIST.
Новый риск-ориентированный подход NIST к уязвимостям CVE
С 15 апреля 2026 года в NVD действует система приоритизации, в рамках которой NIST фокусируется на уязвимостях с максимальным потенциальным системным и массовым влиянием. Под приоритет, согласно опубликованной позиции NIST, попадают уязвимости, которые:
- могут привести к широкомасштабным инцидентам или цепочкам атак;
- затрагивают широко используемое программное обеспечение и платформы;
- представляют существенный риск для национальной и глобальной кибербезопасности.
Все CVE, которые не соответствуют этим порогам, теперь помечаются как «Not Scheduled» — то есть не запланированы к обогащению. Важно, что такие записи остаются в NVD, но без гарантированного присвоения оценок CVSS и другой вспомогательной аналитики. NIST подчёркивает, что даже «неприоритетные» уязвимости могут быть критичными для отдельных систем, но, по их оценке, не создают сопоставимого уровня системного риска.
Возможность ручного запроса обогащения критичных CVE
Если организация сталкивается с уязвимостью высокой значимости, которая в NVD отмечена как «Not Scheduled», NIST предлагает механизм ручного запроса. Для этого можно направить письмо на адрес nvd@nist[.]gov с просьбой об обогащении конкретной CVE. Такие обращения планируется рассматривать индивидуально, а отобранные уязвимости включать в очередь на обработку.
Статистика по CVE и проблемы для организаций
По данным компании VulnCheck, даже по итогам 2025 года около 10 000 уязвимостей так и не получили оценку CVSS. Оценка исследователей: NIST успел обогатить примерно 14 000 записей вида «CVE‑2025», что составляет лишь около 32% всех уязвимостей 2025 года.
Представители индустрии отмечают, что происходящее подтверждает: полное ручное обогащение всех новых уязвимостей больше неработоспособно. По словам специалистов VulnCheck, современный ландшафт угроз и взрывной рост CVE требуют распределённых, автоматизированных и машиноскоростных подходов как к поиску уязвимостей, так и к их оценке и приоритизации.
Последствия для управления уязвимостями и аудиторов
Для многих организаций NVD исторически был «единой точкой правды» по уязвимостям. Решение NIST сконцентрироваться на уязвимостях высокого влияния фактически завершает эпоху, когда можно было полагаться на одну государственную базу как на полный и детально обогащённый каталог всех CVE.
Эксперты по кибербезопасности подчёркивают, что теперь защитникам придётся активнее переходить к проактивному, разведданными-ориентированному управлению рисками. В частности, рекомендуются следующие ориентиры:
- делать акцент на списке CISA Known Exploited Vulnerabilities (KEV), который отражает реально эксплуатируемые уязвимости;
- использовать метрики эксплуатируемости и контекстную информацию, а не только формальные баллы CVSS;
- объединять данные из нескольких источников: NVD, частных вендоров, threat intelligence‑платформ, отраслевых ISAC и др.
По мнению исследователей, переход к «курируемому подмножеству» наиболее значимых и эксплуатируемых уязвимостей в итоге может положительно сказаться на устойчивости инфраструктуры: при ограниченных ресурсах гораздо эффективнее управлять реальным воздействием, чем пытаться закрыть каждую малозначимую ошибку.
Изменения в политике NIST демонстрируют зрелость отрасли: мир больше не может полагаться только на централизованное, ручное сопровождение каждой новой уязвимости. Организациям следует пересмотреть свои процессы управления уязвимостями, усилить автоматизацию, внедрить приоритизацию на основе риска и эксплуатации, а также выстроить собственную систему threat intelligence. Чем быстрее компании адаптируются к новой реальности NVD, тем выше будут их шансы опередить злоумышленников, которые уже давно работают на скорости машин.
