🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O Instituto Nacional de Padrões e Tecnologia (NIST) anunciou mudanças na forma como lida com vulnerabilidades e exposições de segurança cibernética (CVEs) listadas em seu Banco de Dados Nacional de Vulnerabilidades (NVD), afirmando que só enriquecerá aqueles que atenderem a certas condições devido a uma explosão nos envios de CVE.
“Os CVEs que não atendem a esses critérios ainda serão listados no NVD, mas não serão automaticamente enriquecidos pelo NIST”, afirmou. "Esta mudança é impulsionada por um aumento nas submissões de CVE, que aumentaram 263% entre 2020 e 2025. Não esperamos que esta tendência diminua tão cedo."
Os critérios de priorização definidos pelo NIST, que entraram em vigor em 15 de abril de 2026, são os seguintes -
CVEs que aparecem no catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA).
CVEs para software usado no governo federal.
CVEs para software crítico, conforme definido pela Ordem Executiva 14028: inclui software projetado para ser executado com privilégios elevados ou privilégios gerenciados, tem acesso privilegiado a recursos de rede ou de computação, controla o acesso a dados ou tecnologia operacional e opera fora dos limites normais de confiança com acesso elevado.
Qualquer envio de CVE que não atenda a esses limites será marcado como "Não agendado". A ideia, disse o NIST, é focar em CVEs que tenham o potencial máximo de impacto generalizado.
“Embora os CVE que não cumpram estes critérios possam ter um impacto significativo nos sistemas afectados, geralmente não apresentam o mesmo nível de risco sistémico que os das categorias priorizadas”, acrescentou.
O NIST disse que as submissões de CVE durante os primeiros três meses de 2026 são quase um terço maiores do que no ano passado e está trabalhando mais rápido do que nunca para enriquecer as submissões. Afirmou também que enriqueceu quase 42.000 CVEs em 2025, o que foi 45% mais do que em qualquer ano anterior.
Nos casos em que um CVE de alto impacto foi categorizado como não programado, os usuários têm a opção de solicitar enriquecimento enviando um e-mail para "nvd@nist[.]gov".Espera-se que o NIST analise essas solicitações e agende os CVEs para enriquecimento, conforme aplicável.
Mudanças também foram instituídas para vários outros aspectos das operações do NVD. Estes incluem -
O NIST não fornecerá mais rotineiramente uma pontuação de gravidade separada para um CVE onde a Autoridade de Numeração de CVE já forneceu uma pontuação de gravidade.
Um CVE modificado será reanalisado apenas se “afetar materialmente” os dados de enriquecimento. Os usuários podem solicitar a reanálise de CVEs específicos enviando um e-mail para o mesmo endereço listado acima.
Todos os CVEs não enriquecidos atualmente em pendências com data de publicação do NVD anterior a 1º de março de 2026 serão movidos para a categoria "Não agendado". Isto não se aplica a CVEs que já estejam no catálogo KEV.
O NIST atualizou os rótulos e descrições de status de CVE, bem como o Painel NVD, para refletir com precisão o status de todos os CVEs e outras estatísticas em tempo real.
“O anúncio do NIST não é uma grande surpresa, visto que eles já telegrafaram a intenção de mudar para um modelo de priorização ‘baseado em risco’ para enriquecimento de CVE”, disse Caitlin Condon, vice-presidente de pesquisa de segurança da VulnCheck, em comunicado compartilhado com The Hacker News.
"Do lado positivo, o NIST está claramente e publicamente definindo expectativas para a comunidade em meio a um aumento enorme e crescente de novas vulnerabilidades. Por outro lado, uma parte significativa das vulnerabilidades agora parece não ter um caminho claro para o enriquecimento para organizações que dependem do NIST como sua fonte oficial (ou única) de dados de enriquecimento de CVE."
Dados da empresa de cibersegurança mostram que ainda existem cerca de 10.000 vulnerabilidades de 2025 sem pontuação CVSS. Estima-se que o NIST tenha enriquecido 14.000 vulnerabilidades 'CVE-2025', representando cerca de 32% da população CVE de 2025.
“Este anúncio sublinha o que já sabemos: já não vivemos num mundo onde o enriquecimento manual de novas vulnerabilidades é uma estratégia viável ou eficaz”, disse Condon.
"Mesmo sem a descoberta de vulnerabilidades orientada por IA acelerando o volume de CVE e os desafios de validação, o clima de ameaças atual exige inequivocamente abordagens distribuídas e à velocidade da máquina para identificação e enriquecimento de vulnerabilidades, juntamente com uma perspectiva genuinamente global sobre o risco que reconhece a natureza interconectada e interdependente do ecossistema de software mundial - e dos invasores que o visam. Afinal, o que não priorizamos para nós mesmos, os adversários priorizarão para nós."
David Lindner, diretor de segurança da informação da Contrast Security, disse que a decisão do NIST de priorizar apenas vulnerabilidades de alto impacto marca o fim de uma era em que os defensores poderiam aproveitar um único banco de dados gerenciado pelo governo para avaliar riscos de segurança, forçando as organizações
“Os CVEs que não atendem a esses critérios ainda serão listados no NVD, mas não serão automaticamente enriquecidos pelo NIST”, afirmou. "Esta mudança é impulsionada por um aumento nas submissões de CVE, que aumentaram 263% entre 2020 e 2025. Não esperamos que esta tendência diminua tão cedo."
Os critérios de priorização definidos pelo NIST, que entraram em vigor em 15 de abril de 2026, são os seguintes -
CVEs que aparecem no catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA).
CVEs para software usado no governo federal.
CVEs para software crítico, conforme definido pela Ordem Executiva 14028: inclui software projetado para ser executado com privilégios elevados ou privilégios gerenciados, tem acesso privilegiado a recursos de rede ou de computação, controla o acesso a dados ou tecnologia operacional e opera fora dos limites normais de confiança com acesso elevado.
Qualquer envio de CVE que não atenda a esses limites será marcado como "Não agendado". A ideia, disse o NIST, é focar em CVEs que tenham o potencial máximo de impacto generalizado.
“Embora os CVE que não cumpram estes critérios possam ter um impacto significativo nos sistemas afectados, geralmente não apresentam o mesmo nível de risco sistémico que os das categorias priorizadas”, acrescentou.
O NIST disse que as submissões de CVE durante os primeiros três meses de 2026 são quase um terço maiores do que no ano passado e está trabalhando mais rápido do que nunca para enriquecer as submissões. Afirmou também que enriqueceu quase 42.000 CVEs em 2025, o que foi 45% mais do que em qualquer ano anterior.
Nos casos em que um CVE de alto impacto foi categorizado como não programado, os usuários têm a opção de solicitar enriquecimento enviando um e-mail para "nvd@nist[.]gov".Espera-se que o NIST analise essas solicitações e agende os CVEs para enriquecimento, conforme aplicável.
Mudanças também foram instituídas para vários outros aspectos das operações do NVD. Estes incluem -
O NIST não fornecerá mais rotineiramente uma pontuação de gravidade separada para um CVE onde a Autoridade de Numeração de CVE já forneceu uma pontuação de gravidade.
Um CVE modificado será reanalisado apenas se “afetar materialmente” os dados de enriquecimento. Os usuários podem solicitar a reanálise de CVEs específicos enviando um e-mail para o mesmo endereço listado acima.
Todos os CVEs não enriquecidos atualmente em pendências com data de publicação do NVD anterior a 1º de março de 2026 serão movidos para a categoria "Não agendado". Isto não se aplica a CVEs que já estejam no catálogo KEV.
O NIST atualizou os rótulos e descrições de status de CVE, bem como o Painel NVD, para refletir com precisão o status de todos os CVEs e outras estatísticas em tempo real.
“O anúncio do NIST não é uma grande surpresa, visto que eles já telegrafaram a intenção de mudar para um modelo de priorização ‘baseado em risco’ para enriquecimento de CVE”, disse Caitlin Condon, vice-presidente de pesquisa de segurança da VulnCheck, em comunicado compartilhado com The Hacker News.
"Do lado positivo, o NIST está claramente e publicamente definindo expectativas para a comunidade em meio a um aumento enorme e crescente de novas vulnerabilidades. Por outro lado, uma parte significativa das vulnerabilidades agora parece não ter um caminho claro para o enriquecimento para organizações que dependem do NIST como sua fonte oficial (ou única) de dados de enriquecimento de CVE."
Dados da empresa de cibersegurança mostram que ainda existem cerca de 10.000 vulnerabilidades de 2025 sem pontuação CVSS. Estima-se que o NIST tenha enriquecido 14.000 vulnerabilidades 'CVE-2025', representando cerca de 32% da população CVE de 2025.
“Este anúncio sublinha o que já sabemos: já não vivemos num mundo onde o enriquecimento manual de novas vulnerabilidades é uma estratégia viável ou eficaz”, disse Condon.
"Mesmo sem a descoberta de vulnerabilidades orientada por IA acelerando o volume de CVE e os desafios de validação, o clima de ameaças atual exige inequivocamente abordagens distribuídas e à velocidade da máquina para identificação e enriquecimento de vulnerabilidades, juntamente com uma perspectiva genuinamente global sobre o risco que reconhece a natureza interconectada e interdependente do ecossistema de software mundial - e dos invasores que o visam. Afinal, o que não priorizamos para nós mesmos, os adversários priorizarão para nós."
David Lindner, diretor de segurança da informação da Contrast Security, disse que a decisão do NIST de priorizar apenas vulnerabilidades de alto impacto marca o fim de uma era em que os defensores poderiam aproveitar um único banco de dados gerenciado pelo governo para avaliar riscos de segurança, forçando as organizações
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #nist #limita #o #enriquecimento #de #cve #após #aumento #de #263% #nos #envios #de #vulnerabilidades
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário