СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
R-Vision
29 января
#Статьи #ИБ#ИИ

NVD больше не успевает за реальностью: взгляд R-Vision на пересмотр роли NIST

NVD больше не успевает за реальностью: взгляд R-Vision на пересмотр роли NIST

Изображение: recraft

Новость о том, что NIST пересматривает свою роль в анализе уязвимостей в рамках NVD, для нас не стала неожиданностью. Скорее, это логичный и давно назревший этап эволюции всей экосистемы CVE.

Экспоненциальный рост уязвимостей

Количество уязвимостей растет экспоненциально из года в год. Автоматизация поиска, развитие bug bounty-программ и активное использование ИИ привели к тому, что поток новых CVE давно превысил аналитические возможности NIST. Модель, в которой один институт отвечает за глубокий анализ десятков тысяч уязвимостей в год, перестала масштабироваться. Без изменения подхода она просто не выдерживает нагрузку.

NVD по-прежнему важна — но этого уже недостаточно

NVD остается ключевым элементом глобальной инфраструктуры ИБ. По сути, это «клей» всей экосистемы:

  • сквозной и понятный идентификатор уязвимостей для всех компаний на рынке;
  • нормализованный формат данных;
  • выстроенные связи уязвимости со вспомогательными объектами и данными (CPE, CWE и другие), формирующими контекст.

На NVD опираются специалисты, организации и продукты: сканеры безопасности, системы управления уязвимостями (VM), SIEM и другие. Поэтому полный отказ от NVD был бы слишком дорогим и болезненным для рынка.

Однако важно признать: роль NVD как источника полного и актуального аналитического контекста для всех уязвимостей больше не гарантирована. Сам NIST прямо говорит о дефиците ресурсов и смещении фокуса:

  • аналитическая нагрузка выходит за рамки основной миссии института;
  • приоритет будет отдаваться ограниченному набору уязвимостей (прежде всего активно эксплуатируемым и критичным для госсектора США).

Переходный период и риски для рынка

Новые правила еще только формируются, и это создаёт ряд рисков:

  • фрагментация данных – часть CVE будет публиковаться без детального контекста или с задержками;
  • размывание ответственности – аналитика передается CNA и другим участникам, но единые требования к качеству пока не очевидны;
  • кризис доверия – рынок привык воспринимать NVD как «готовый продукт», а не как базовый слой идентификации.

Переход к новой модели вряд ли будет быстрым. По нашей оценке, на стабилизацию процессов у коллег может уйти 3–5 лет.

Почему полагаться только на NVD уже рискованно

Текущий кризис назревал давно. Средняя задержка публикации полноценных записей в NVD сегодня превышает две недели. При этом эксплуатация уязвимостей, появление PoC и обсуждение в профессиональном сообществе происходят значительно быстрее.

В результате опора исключительно на NVD означает работу с заведомо устаревшей картиной рисков. Это напрямую влияет на приоритизацию уязвимостей, скорость реагирования и эффективность процессов управления уязвимостями.

Наш подход как вендора системы управления уязвимостями

Именно поэтому мы изначально строим базу уязвимостей не как «копию NVD», а как самостоятельную, живую систему. В ее основе – рекомендации самих производителей ПО, которые часто оказываются самым ранним и детальным источником информации:

  • точные списки затронутых версий;
  • рекомендации по устранению;
  • сведения, появляющиеся задолго до полноценных записей в NVD.

Далее информация дополняется данными из исследовательских сообществ, сведениями об эксплуатации и PoC, а также открытыми и регуляторными источниками, включая БДУ ФСТЭК.

Ключевой элемент – экспертная верификация. Данные из внешних источников зачастую не могут использоваться в «сыром» виде. Они требуют проверки логики детекта, тестирования на стендах, уточнения условий эксплуатации, устранения ложных срабатываний и уточнения у самого вендора.

При этом мы осознаем ограничения такой модели: небольшие вендоры часто публикуют только GitHub Issues без подробного контекста, open-source проекты не всегда выпускают структурированные рекомендации, региональные и нишевые продукты могут остаться недокументированы.

Для нас качество базы измеряется не количеством CVE, а:

  • скоростью реакции;
  • полнотой покрытия реальных технологий;
  • способностью адаптации под инфраструктуры заказчиков.

Что это значит для рынка

Мы не исключаем, что в будущем экосистема уязвимостей станет более распределенной:

  • появятся новые коммерческие базы данных;
  • усилится партнерство между государственными и частными структурами;
  • часть данных будет доступна только в платном формате.

Для российского рынка ситуация упрощается наличием БДУ ФСТЭК, но общий тренд остается тем же.

Итог

Изменения в NVD – это не кризис и не «конец CVE». Скорее, стоит рассматривать данный этап как естественный этап взросления рынка.

Управление уязвимостями перестает быть задачей подключения одного «правильного» источника. Оно становится задачей работы с качественными, разрозненными и постоянно меняющимися данными.

В этой реальности выигрывают решения, которые умеют работать с множеством источников данных об уязвимостях, инвестируют в свою экспертизу, а также проверяют и адаптируют данные под реальные условия.

Автор: Николай Рягин, руководитель управления исследований и аналитики, R-Vision.

R-Vision
Автор: R-Vision
R-Vision — разработчик систем цифровизации и кибербезопасности. С 2011 года компания создаёт технологии, которые помогают организациям эффективно противостоять киберугрозам, поддерживать надёжность ИТ- инфраструктуры и обеспечивать цифровую трансформацию. Технологии R-Vision используются в крупнейших банках, государственных организациях, нефтегазовой отрасли, энергетике, металлургии, промышленности и компаниях других отраслей.
Комментарии: