NIST бьёт тревогу: темпы фиксации CVE критически отстают от обнаружения новых уязвимостей

Национальная база данных уязвимостей США (NVD) продолжает сталкиваться с нарастающими трудностями — несмотря на усилия по восстановлению прежнего темпа обработки информации, отставание от графика публикации записей об уязвимостях (CVE) продолжает увеличиваться. Об этом говорится в последней сводке новостей Национального института стандартов и технологий США (NIST), опубликованной 19 марта 2025 года.

По информации института, на текущий момент CVE обрабатываются в объёмах, сопоставимых с теми, что фиксировались до весенне-летнего спада 2024 года. Однако сам объём новых уязвимостей за 2024 год вырос на 32%, и прежние темпы обработки уже не справляются с нагрузкой. Как следствие, накопленная задолженность по необработанным записям продолжает расти.

Прогноз на 2025 год также вызывает опасения. В NIST ожидают, что количество новых сообщений об уязвимостях будет только увеличиваться, что делает своевременную и точную обработку данных ещё более критичной. При этом подчёркивается, что значение базы NVD как инструмента кибербезопасности возрастает: от её эффективности напрямую зависит защита инфраструктуры, экономики и цифровых сервисов США.

Чтобы справиться с ростом объёма информации, команда проекта предпринимает меры по оптимизации внутренних процессов. В частности, ведётся работа по реорганизации существующих процедур, а также тестируются технологии машинного обучения. Их планируют использовать для автоматизации рутинных операций, которые сейчас требуют значительных трудозатрат со стороны аналитиков.

Сложившаяся ситуация с базой NVD подчёркивает системную проблему, с которой сталкиваются государственные структуры во всём мире: количество цифровых уязвимостей растёт быстрее, чем развивается инфраструктура, способная их анализировать и классифицировать. При этом любые сбои или задержки в обработке данных повышают риски как для частных компаний, так и для государственных систем.

Пока неясно, насколько эффективными окажутся внедряемые меры. Однако сам факт признания растущего долга и попытки внедрения автоматизации свидетельствуют о переходе к более гибкой и технологически адаптированной модели работы. От того, насколько быстро и качественно удастся перестроить процесс, зависит не только репутация NVD, но и уровень общей цифровой устойчивости США.

Параллельно участники отрасли внимательно следят за происходящим. Национальная база уязвимостей остаётся основным публичным источником данных о CVE — её своевременное обновление критически важно для всего мирового сообщества, зависящего от точной и оперативной информации о киберугрозах.

Параллельно, на фоне замедления работы NVD, растёт популярность альтернативных источников информации об уязвимостях. Всё большую известность получают сторонние сервисы, такие как CVE.ORG, OpenCVE и Feedly.com, которые предоставляют доступ к актуальным данным о CVE и оперативно реагируют на появление новых угроз.

Эти платформы становятся важным подспорьем для специалистов, которые не могут полагаться исключительно на официальную базу NIST из-за её текущих задержек.