特定の基準を満たさない脆弱性に対して、機関は詳細情報の追加を中止します。
国立標準技術研究所(NIST)は、デジタルの欠陥の膨大なバックログに直面しながら、新たに開示された脆弱性の分析方法を変更しています。
「サイバーセキュリティおよびエクスポージャー(CVE)の提出の急増」により、NISTは水曜日に発表しました。機関は特定の基準を満たすCVEのみ詳細な分析を実施します。これには、サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)の既知の悪用脆弱性(KEV)カタログへの掲載、連邦政府で使用されるソフトウェアへの存在、または「重要なソフトウェア」(バイデン政権の大統領令で定義)への存在が含まれます。
NISTは国立脆弱性データベース(NVD)にすべての開示された脆弱性をリストアップし続けますが、これらの基準に該当しない欠陥は、機関が「エンリッチメント」と呼ぶ詳細分析を受け取りません。
また、NISTは既に提出組織から評価を受けたCVEについては、独自の脆弱性深刻度スコアの提供を中止します。さらに、NISTは強化後に変更されたCVEの再評価は、新しい情報が元の分析に「実質的な影響を与える」と判断した場合のみ実施します。
AI駆動の脆弱性検出ツールの台頭により、新たに開示された欠陥の津波が生じています。これはデジタル防御者および脆弱性カタログの保守管理者を圧倒しています。近年、NISTはボリュームに対応するために苦労しており、大規模なバックログを作成しており、これが機関にアプローチの再考を開始させました。
新しいトリアージシステムにより「最も広範な影響を与える可能性のあるCVEに焦点を当てることができます」とNISTは水曜日に述べました。「これらの基準を満たさないCVEは影響を受けるシステムに重大な影響を与える可能性がありますが、通常は優先カテゴリーに分類されたものと同じレベルのシステム的リスクをもたらしません。」
NISTは2025年に「約42,000のCVE」をエンリッチしたと述べていますが、開示率が急速に増加しているため(機関によると、2020年から2025年の間に新たに報告された欠陥の数は263%増加しています)、機関の元の強化計画は持続不可能になりました。
NISTが最も深刻な脆弱性に焦点を当てることを可能にするだけでなく、新しいシステムは機関が「NVDプログラムを安定化させながら、長期的な持続可能性のために必要な自動化されたシステムとワークフローの改善を開発することを可能にします」とのことです。
NISTはまた、既存のCVEバックログへの作業を中止すると述べました。「リソースが許す限り、新しい優先基準を適用しながら、これらの以前の脆弱性のエンリッチメントを検討します」と機関は述べました。
翻訳元: https://www.cybersecuritydive.com/news/nist-vulnerability-analysis-criteria-nvd-cve/817683/
