NIST rivede la gestione delle vulnerabilità: focus su rischi elevati

Il National Institute of Standards and Technology (NIST) ha recentemente annunciato un cambiamento significativo nella gestione del National Vulnerability Database (NVD). Di fronte a un aumento esponenziale delle segnalazioni di vulnerabilità, il NIST ha deciso di adottare un modello basato sul rischio, concentrandosi sull'analisi dettagliata solo delle vulnerabilità più critiche.

Aumento delle segnalazioni di vulnerabilità

Tra il 2020 e il 2025, le segnalazioni di Common Vulnerabilities and Exposures (CVE) sono aumentate del 263%. Questo incremento ha messo sotto pressione il NIST, che ha arricchito quasi 42.000 CVE nel 2025, un aumento del 45% rispetto all'anno precedente. Nonostante questi sforzi, l'agenzia non è riuscita a tenere il passo con il volume crescente di segnalazioni.

Nuovo approccio basato sul rischio

Per affrontare questa sfida, il NIST ha introdotto un nuovo modello di triage basato sul rischio. A partire dal 15 aprile 2026, l'agenzia si concentrerà sull'arricchimento delle CVE che soddisfano specifici criteri:

• Vulnerabilità incluse nel Catalogo delle Vulnerabilità Sfruttate Conosciute (KEV) della CISA: queste CVE saranno arricchite entro un giorno lavorativo dalla ricezione.
• Vulnerabilità relative a software utilizzato all'interno del governo federale.
• Vulnerabilità in software critico, come definito dall'Ordine Esecutivo 14028.

Le CVE che non soddisfano questi criteri saranno comunque elencate nel NVD, ma non riceveranno automaticamente l'arricchimento, a meno che non venga richiesto esplicitamente.

Implicazioni per la comunità della sicurezza informatica

Questa decisione ha suscitato preoccupazioni tra gli esperti di sicurezza informatica. Ian Gray, vicepresidente di Flashpoint, ha sottolineato che la riduzione dell'arricchimento potrebbe creare punti ciechi per le aziende, poiché molte vulnerabilità potrebbero rimanere non analizzate. Inoltre, Shane Fry, CTO di RunSafe Security, ha evidenziato la necessità per le organizzazioni di essere più proattive nell'identificare le vulnerabilità che le riguardano, poiché l'approccio del NIST potrebbe aumentare la difficoltà per le aziende e gli sviluppatori di mantenere il software aggiornato.

Conclusione

Il cambiamento nel processo di arricchimento delle CVE da parte del NIST rappresenta una risposta diretta all'aumento delle segnalazioni di vulnerabilità. Sebbene l'approccio basato sul rischio permetta all'agenzia di concentrarsi sulle minacce più critiche, è fondamentale che le organizzazioni adottino misure proattive per identificare e mitigare le vulnerabilità, utilizzando una varietà di fonti di dati e strategie di difesa per affrontare efficacemente le minacce emergenti.

• Aumento delle segnalazioni di CVE: tra il 2020 e il 2025, le segnalazioni sono aumentate del 263%, mettendo sotto pressione il NIST.
• Nuovo modello basato sul rischio: il NIST si concentrerà sull'arricchimento delle CVE critiche, come quelle nel KEV della CISA e in software critico.
• Preoccupazioni della comunità: esperti temono che la riduzione dell'arricchimento possa creare punti ciechi per le aziende, richiedendo un approccio più proattivo nella gestione delle vulnerabilità.