O schimbare de paradigmă în gestionarea vulnerabilităților globale
Într-o mișcare care marchează sfârșitul unei ere în securitatea informatică, Institutul Național de Standarde și Tehnologie din SUA (NIST) a anunțat oficial o restructurare radicală a modului în care procesează vulnerabilitățile în cadrul National Vulnerability Database (NVD). Confruntat cu un volum fără precedent de raportări, NIST renunță la obiectivul său istoric de a analiza manual și complet fiecare Common Vulnerability and Exposure (CVE), trecând la un model de „triaj bazat pe risc”.
Această decizie vine ca răspuns direct la o realitate tehnologică copleșitoare: între anii 2020 și 2025, numărul de CVE-uri depuse a crescut cu un uluitor 263%. Doar în primul trimestru al anului 2026, cifrele au fost cu o treime mai mari decât în perioada similară a anului trecut. În ciuda faptului că NIST a reușit să „îmbogățească” (analizeze detaliat) aproximativ 42.000 de vulnerabilități în 2025 – o creștere de 45% a productivității interne – ritmul de raportare a depășit capacitatea umană și tehnică de procesare.
Noile criterii de selecție: Cine primește „tratament preferențial”?
Sub noul model operațional, NIST va prioritiza resursele de analiză doar pentru vulnerabilitățile care îndeplinesc criterii stricte de periculozitate și relevanță. Cele trei categorii care vor beneficia de analiză completă și rapidă sunt:
- Vulnerabilitățile incluse în catalogul Known Exploited Vulnerabilities (KEV) al CISA (Cybersecurity and Infrastructure Security Agency), adică acele defecte care sunt deja exploatate activ în atacuri reale.
- CVE-uri care afectează software-ul utilizat în cadrul agențiilor guvernamentale federale.
- Vulnerabilități ce vizează software-ul clasificat ca fiind „critic” conform Ordinului Executiv 14028.
Pentru aceste categorii critice, NIST își propune un obiectiv ambițios: actualizarea datelor în NVD în termen de maximum o zi lucrătoare de la primirea raportului. Restul vulnerabilităților vor fi listate sub eticheta „Not Scheduled”, ceea ce înseamnă că nu vor primi automat scoruri de severitate sau date despre produsele afectate, elemente esențiale pe care echipele de securitate din întreaga lume se bazau anterior pentru prioritizarea patch-urilor.
Impactul Inteligenței Artificiale asupra securității
Experții din industrie subliniază că acest val masiv de raportări nu este accidental. Vincenzo Iozzo, CEO al SlashID, a explicat pentru SiliconANGLE că utilizarea sistemelor AI și a modelelor de limbaj de mari dimensiuni (LLM) a accelerat dramatic identificarea vulnerabilităților valide. AI-ul a devenit o sabie cu două tăișuri: pe de o parte, permite cercetătorilor de securitate să găsească bug-uri într-un ritm industrial, iar pe de altă parte, oferă atacatorilor instrumente pentru a descoperi noi vectori de penetrare.
Cu toate acestea, Iozzo consideră că aceleași tehnologii AI vor permite organizațiilor să își compenseze lipsa datelor de la NIST, folosind modele proprii pentru a contextualiza și prioritiza riscurile în funcție de specificul mediului lor IT.
Analiză pentru companii: Riscuri, costuri și eficiență
Pentru liderii IT și responsabilii cu securitatea (CISO), această schimbare are implicații profunde asupra strategiei de management al riscului:
- Creșterea eficienței prin focalizare: Prin prioritizarea vulnerabilităților KEV, companiile pot direcționa resursele limitate către „incendiile” care ard deja, reducând zgomotul de fond generat de mii de vulnerabilități teoretice.
- Necesitatea unor surse de date private: Deoarece NIST nu mai oferă analize pentru toate CVE-urile, companiile vor fi nevoite să investească în soluții de Threat Intelligence comerciale pentru a obține datele necesare despre vulnerabilitățile non-critice.
- Schimbarea mentalității: Organizațiile trebuie să adopte o atitudine proactivă. Așa cum subliniază Shane Fry, CTO la RunSafe Security, epoca în care se aștepta un scor oficial NIST înainte de a acționa a apus. Companiile trebuie să implementeze protecții care să prevină exploatarea chiar și în absența unui patch sau a unui scor de severitate.
- Reducerea costurilor pe termen lung prin automatizare: Deși tranziția poate părea costisitoare, adoptarea instrumentelor de analiză bazate pe AI pentru triajul intern al vulnerabilităților poate reduce semnificativ timpul de răspuns și, implicit, pierderile potențiale cauzate de un eventual atac.
În concluzie, restructurarea NVD este o recunoaștere a faptului că vechile metode de gestionare a securității nu mai pot face față volumului de date din 2026. Succesul unei companii va depinde acum de capacitatea sa de a naviga printr-un peisaj unde informația oficială este filtrată, iar viteza de reacție autonomă devine cel mai important activ de securitate.
Sursă articol: SiliconANGLE
About the Author
Discover more from Pe Bune
Subscribe to get the latest posts sent to your email.