Национальный институт стандартов и технологий США (NIST) объявил о том, что меняет порядок включения информации об уязвимостях в базу данных National Vulnerability Database (NVD). Теперь специалисты NIST сосредоточатся только на отдельных категориях уязвимостей, уделяя минимум внимание всем остальным. Новые правила NIST вступили в силу с 15 апреля.

Причиной назван лавинообразный рост числа сообщений об уязвимостей. За последние 5 лет их количество увеличилось на 263%. Только в прошлом году сотрудники NIST обработали примерно 42 тысячи таких сообщений, установив очередной рекорд. Обработка сообщений состоит в присвоении уязвимостям уровня угрозы, описания возможностей их эксплуатации в атаках, перечисления версий программных и моделей аппаратных продуктов, затронутых уязвимостью и т.д.

Но работать и далее в таком режиме NIST просто не в состоянии, тем более, что с 2024 года финансирование Института было сокращено. В результате, теперь обработке подлежат лишь сообщения об угрозах, включенных в каталог известных эксплуатируемых уязвимостей, составляемый Национальным агентством по кибербезопасности и безопасности инфраструктуры (CISA); уязвимостях в программных и аппаратных продуктах, используемых структурами федерального правительства США и уязвимостях в программном обеспечении объектов критической инфраструктуры. При этом все остальные сообщения об уязвимостях будут по-прежнему включаться в базу данных NVD, но без дополнительных сведений и с оценкой уровня угрозы, предложенной самими авторами сообщений (разработчиками, исследователями и т.д.).

Эта новость является печальной для всей IT-индустрии, которая активно использует информацию NVD. По мнению экспертов, одной из причин бурного роста числа сообщений об уязвимостях стал стремительный прогресс технологий искусственного интеллекта, которые все чаще служат для поиска этих уязвимостей. Дополнительным поводом для беспокойства является то, что те же технологии искусственного интеллекта вполне могут быть использованы и для поиска путей эксплуатации уязвимостей.