A National Institute of Standards and Technology (NIST) jelentős változtatásokat jelentett be a National Vulnerability Database működésében, válaszul a szoftveres sérülékenységek robbanásszerű növekedésére.
Az új megközelítés lényege:
👉 kockázatalapú priorizálás
👉 nem minden sérülékenység kap azonnali részletes elemzést
Rekord növekedés: +263% CVE
A NIST adatai szerint:
- 2020–2025 között 263%-kal nőtt a CVE-k száma
- 2026 elején további gyorsulás látható
2025-ben:
- közel 42 000 CVE feldolgozása
- ez 45%-os növekedés az előző évekhez képest
👉 még ez sem volt elég
A jelenlegi modell:
- manuális / félautomata
👉 már nem skálázható
Mi az NVD szerepe?
A CVE önmagában csak azonosító.
Az NVD ad hozzá értéket:
- CVSS súlyossági pontszám
- érintett szoftverek
- gyengeség típusok
- hatás elemzés
- kereshető metaadatok
👉 ez teszi használhatóvá a sérülékenységeket a gyakorlatban
Új prioritási rendszer
A NIST mostantól három fő kategóriát kezel elsődlegesen:
1. Aktívan kihasznált hibák
A CISA KEV listáján szereplő sérülékenységek:
- már valós támadásokban szerepelnek
- 1 munkanapon belül feldolgozásra kerülnek
2. Kormányzati rendszereket érintő szoftverek
- amerikai szövetségi rendszerekben használt szoftverek
- kiemelt prioritás
3. Kritikus szoftverek
Az Executive Order 14028 alapján:
- kritikus infrastruktúrához kapcsolódó rendszerek
- pl. supply chain incidensek után kiemelt terület
Mi történik a többi CVE-vel?
Minden CVE publikálásra kerül, de:
👉 sok esetben ez a státusz jelenik meg:
„Lowest Priority – not scheduled for immediate enrichment”
Ez azt jelenti:
- nincs azonnali CVSS pontszám
- hiányos metaadatok
- lassabb integráció a rendszerekbe
Mit jelent ez a gyakorlatban?
A szervezetek számára:
- késhet a kockázatértékelés
- hiányozhatnak adatok
- több saját elemzés szükséges
👉 nő a belső triázs szerepe
Fontos változás: NIST nem számol újra CVSS-t
A jövőben:
👉 ha a CNA már adott pontszámot →
👉 a NIST nem számolja újra
Ez:
- időt takarít meg
- csökkenti az eltéréseket
De:
👉 a cégeknek újra kell gondolniuk a folyamataikat
Régi backlog kezelése
A NIST döntése:
- március 1. előtti feldolgozatlan CVE-k
👉 „Not Scheduled” státuszba kerülnek
- március 1. előtti feldolgozatlan CVE-k
👉 ez gyakorlatilag:
reseteli a felhalmozott hátralékot
Miért nő ennyire a CVE-k száma?
Fő okok:
- komplex szoftver ellátási láncok
- open-source komponensek növekedése
- több biztonsági kutatás
- bug bounty programok
- több CNA jogosultság
- szabályozási nyomás
- cloud és IoT terjedése
👉 az attack surface drasztikusan nő
Mit jelent ez a cégeknek?
A jövő:
👉 nem „mindent patch-elünk”
hanem:
👉 kockázatalapú döntés
Ajánlott kiegészítések:
- gyártói advisories
- threat intelligence feedek
- exploit adatok
- EPSS modellek
- asset kritikalitás elemzés
Hatás a teljes iparágra
Az NVD kulcs infrastruktúra:
- kormányzati szervek
- biztonsági szolgáltatók
- audit és compliance csapatok
- kritikus infrastruktúra
- szoftvergyártók
👉 mindenkit érint a változás
A jövő: automatizálás és AI
A NIST célja:
- automatizált feldolgozás
- AI-alapú elemzés
- gyorsabb priorizálás
Lehetséges irányok:
- automatikus CVSS becslés
- gépi exploit elemzés
- strukturált adatfeldolgozás
Összegzés
A National Institute of Standards and Technology döntése egyértelmű üzenet:
👉 a jelenlegi rendszer nem skálázható
A jövő:
- kevesebb, de fontosabb adat
- gyorsabb feldolgozás
- kockázatalapú szemlélet
👉 ez alapjaiban változtathatja meg:
hogyan döntünk arról, mit javítsunk először
