Национальный институт стандартов и технологий США (NIST) объявил о масштабном пересмотре подхода к работе с базой уязвимостей National Vulnerability Database (NVD). С апреля 2026 года детальная аналитика будет выполняться только для приоритетных записей CVE, тогда как остальные уязвимости останутся в базе без традиционного «обогащения» данными.
Почему NIST меняет подход к базе уязвимостей NVD
Ключевая причина реформы — взрывной рост количества уязвимостей, регистрируемых в системе CVE. По данным NIST, с 2020 по 2025 год объем поступающих записей увеличился на 263%. При этом уже в первом квартале 2026 года поток заявок вырос еще примерно на треть по сравнению с тем же периодом прошлого года.
Даже при заметном расширении процессов анализа NIST оказался у предела возможностей. В 2025 году специалисты института успели обогатить почти 42 000 записей CVE, что на 45% больше, чем в любой предыдущий год. Однако при текущей динамике этого уже недостаточно: ручная обработка каждой уязвимости становится практически невыполнимой задачей.
Под «обогащением» в контексте NVD понимается присвоение оценок серьезности (например, по CVSS), указание затронутых продуктов и версий, добавление развернутых описаний, внешних ссылок и другой контекстной информации, которая необходима специалистам по кибербезопасности для приоритизации работ по устранению рисков.
Новая модель приоритизации CVE в NVD
С апреля 2026 года NIST будет обогащать только приоритетные CVE, удовлетворяющие хотя бы одному из установленных критериев. Подробный перечень критериев институт публикует в своей официальной документации, однако в целом речь идет о фокусе на уязвимостях с наибольшим потенциальным влиянием на безопасность.
Все остальные записи получат статус «Not Scheduled». Это означает, что в NVD будет присутствовать только базовая информация из CVE-записи, но без дополнительных аналитических данных со стороны NIST.
Отдельно подчеркивается, что NIST больше не будет пересчитывать оценку серьезности, если она уже присвоена CNA (CVE Numbering Authority) — организацией, выдавшей идентификатор уязвимости. Таким образом, приоритет остается за оценками, предоставляемыми вендорами и уполномоченными центрами.
Особо отмечено, что все необработанные CVE из накопившегося бэклога с датой публикации ранее 1 марта 2026 года также будут переведены в категорию «Not Scheduled», за исключением уязвимостей, включенных в каталог KEV (Known Exploited Vulnerabilities). Повторный анализ уже обогащенных записей будет проводиться только при существенных изменениях данных. При этом любой заинтересованный может запросить обогащение конкретной CVE, направив запрос на адрес [email protected].
Что означает статус «Not Scheduled» для компаний
Появление большого числа CVE со статусом «Not Scheduled» фактически означает, что часть уязвимостей останется без централизованной аналитики со стороны NIST. Для организаций, которые привыкли использовать NVD как основной и зачастую единственный источник сведений об уязвимостях, это создает дополнительные риски и операционную нагрузку.
Без подробных описаний, указания затронутых продуктов и формализованной оценки серьезности, компании будут вынуждены самостоятельно проводить анализ уязвимостей или полагаться на альтернативные источники: коммерческие фиды, отраслевые инициативы или внутренние команды Threat Intelligence.
Реакция индустрии кибербезопасности на изменения NVD
Представители отрасли восприняли новости неоднозначно. Кейтлин Кондон (Caitlin Condon), вице-президент по исследованиям в VulnCheck, отметила, что решение NIST не стало сюрпризом, однако оно сильно осложняет работу тем, кто строил процессы управления уязвимостями вокруг одной базы — NVD. По данным VulnCheck, около 10 000 уязвимостей 2025 года до сих пор не имеют оценки CVSS, а из всех CVE с префиксом «CVE-2025» были обогащены лишь порядка 32% записей.
Дэвид Линднер (David Lindner), CISO компании Contrast Security, назвал происходящее «концом эпохи, когда защитники могли полагаться на единую базу для оценки рисков». По его мнению, фокус должен смещаться в сторону каталога KEV и метрик эксплуатируемости уязвимостей, чтобы команды безопасности концентрировались прежде всего на реально используемых в атаках проблемах, а не на теоретической серьезности каждого незначительного бага.
Практические шаги по адаптации процессов управления уязвимостями
Использование нескольких источников данных
Организациям целесообразно пересмотреть архитектуру своих процессов управления уязвимостями и не ограничиваться только NVD. В качестве дополнительных источников могут использоваться: каталог KEV, уведомления от вендоров, отраслевые центры обмена информацией (ISAC), а также коммерческие фиды Threat Intelligence.
Фокус на эксплуатируемости и бизнес-контексте
Оценка риска должна опираться не только на балл CVSS, но и на фактическую эксплуатируемость уязвимости, наличие публичных эксплойтов, уровень открытости системы в сеть и критичность затронутых бизнес-процессов. Такой подход позволяет расставить приоритеты даже при отсутствии полной аналитики по части CVE в NVD.
Автоматизация и инвентаризация активов
В условиях роста числа уязвимостей без детализированного анализа особенно важно иметь актуальный реестр активов и автоматизированные инструменты для сопоставления уязвимостей с конкретными системами. Это позволяет быстро понимать, какие из новых CVE действительно релевантны инфраструктуре организации и требуют немедленного реагирования.
Переход NIST к приоритетной обработке CVE в NVD — показатель зрелости и перегруженности современной экосистемы уязвимостей. Для компаний это сигнал к действию: стоит пересмотреть свои процессы, добавить новые источники данных, укрепить внутреннюю экспертизу по анализу уязвимостей и сделать приоритизацию максимально основанной на реальных угрозах и бизнес-контексте. Чем раньше такие изменения будут внедрены, тем устойчивее будет инфраструктура к быстро меняющемуся ландшафту киберугроз.
