Національний інститут стандартів і технологій США (NIST) оголосив про глибоку реформу процесу оброблення уразливостей у National Vulnerability Database (NVD). Відтепер повне «збагачення» записів CVE — з присвоєнням оцінок CVSS, категоризацією та додатковою аналітикою — виконуватиметься лише для обмеженого кола уразливостей, що відповідають новим пріоритетним критеріям. Решта CVE й надалі відображатимуться в NVD, але без гарантії детального опрацювання з боку NIST.
Чому NIST переходить до селективного оброблення CVE в NVD
Ключова причина змін — вибухове зростання кількості виявлених уразливостей. За даними NIST, обсяг нових CVE-записів зріс на 263% у період з 2020 по 2025 роки і продовжує збільшуватися. Лише протягом 2025 року інститут встиг повноцінно обробити майже 42 000 CVE, що приблизно на 45% більше, ніж у будь-якому попередньому році.
Тренд не сповільнюється: за перші три місяці 2026 року кількість нових уразливостей виявилася майже на третину більшою, ніж за аналогічний період попереднього року. У такій динаміці модель «детально опрацьовувати все» перестала бути масштабованою навіть для NIST, який має значні ресурси та експертизу.
Новий ризик-орієнтований підхід NIST до пріоритизації CVE
Починаючи з 15 квітня 2026 року, в NVD запроваджено систему пріоритезації, що зміщує фокус на уразливості з максимальним потенційним системним та масовим впливом. NIST віддає перевагу тим CVE, які:
- можуть стати тригером масштабних інцидентів або складних ланцюжків атак;
- стосуються широко використовуваних платформ, операційних систем та прикладного ПЗ;
- створюють суттєві ризики для національної та глобальної кібербезпеки.
Уразливості, що не проходять цей поріг, позначаються як «Not Scheduled», тобто не заплановані до збагачення. Такі записи залишаються у відкритому доступі в NVD, однак можуть довго не отримувати балів CVSS та супровідної аналітики. NIST підкреслює, що навіть «непріоритетні» CVE можуть бути критичними для окремих організацій, але не формують порівнянного системного ризику на макрорівні.
Як запросити збагачення важливої для організації CVE
Для випадків, коли організація стикається з уразливістю високої значущості, але в NVD вона позначена як «Not Scheduled», NIST передбачив механізм ручного запиту. Компанії можуть надіслати звернення на адресу nvd@nist[.]gov з проханням пріоритизувати конкретний ідентифікатор CVE. Такі запити розглядатимуться індивідуально, а відібрані уразливості включатимуться до черги на поглиблену обробку.
Статистика по CVE та обмеження традиційного підходу
За оцінками дослідницької компанії VulnCheck, вже за підсумками 2025 року близько 10 000 уразливостей не отримали оцінки CVSS. Аналітики підрахували, що NIST зміг повністю опрацювати приблизно 14 000 записів формату «CVE‑2025», що відповідає лише близько 32% усіх вразливостей, зареєстрованих за цей рік.
Індустрія загалом сходиться в думці, що суцільне ручне збагачення всіх нових CVE більше є нереалістичним. Сучасний ландшафт загроз і постійне зростання кількості уразливостей вимагають розподілених, автоматизованих і «машиношвидкісних» методів як виявлення, так і оцінювання та ранжування ризиків.
Наслідки для управління уразливостями, аудиту та комплаєнсу
Тривалий час NVD була для багатьох організацій «єдиним джерелом істини» щодо уразливостей. Перехід NIST до фокусу на CVE з високим впливом фактично завершує епоху, коли можна було повністю покладатися на одну державну базу як на вичерпний та детально збагачений реєстр усіх уразливостей.
Фахівці з кібербезпеки прогнозують прискорений перехід до проактивного, орієнтованого на розвіддані управління ризиками. Організаціям рекомендовано:
- робити акцент на списку CISA Known Exploited Vulnerabilities (KEV), який містить уразливості, що вже активно експлуатуються зловмисниками;
- використовувати метрики експлуатованості та контекст впливу на власну інфраструктуру, а не спиратися лише на формальний бал CVSS;
- поєднувати дані з кількох джерел: NVD, комерційних вендорів, threat intelligence‑платформ, галузевих ISAC та внутрішніх сенсорів безпеки.
Перехід до «керованого підмножинного» підходу, орієнтованого на найбільш значущі та реально експлуатовані уразливості, потенційно може підвищити стійкість інфраструктури. За обмежених ресурсів ефективніше вкладатися в зниження реального впливу на бізнес-процеси, ніж намагатися закрити кожну незначну помилку в коді.
Новий курс NIST демонструє дорослішання галузі кібербезпеки: світ більше не може покладатися на централізоване ручне супроводження кожної CVE. Організаціям варто вже зараз переглянути власні процеси управління уразливостями, розширити автоматизацію, побудувати пріоритезацію на основі ризику та фактичної експлуатації, а також розвивати власну систему threat intelligence. Чим швидше компанії адаптуються до оновленої реальності NVD, тим вищими будуть їхні шанси випередити зловмисників, які давно працюють на швидкості машинних алгоритмів.
