NIST reduce análisis de vulnerabilidades: ¿qué implica?

El Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. ha anunciado una nueva política para su base de datos nacional de vulnerabilidades (NVD), marcando un cambio significativo en su enfoque de enriquecimiento de CVEs (Common Vulnerabilities and Exposures). Ante un aumento exponencial en el número de vulnerabilidades reportadas, NIST ya no enriquecerá la mayoría de las entradas de CVE, concentrándose únicamente en aquellas consideradas críticas para la seguridad de las redes gubernamentales y del sector privado. Esto incluye vulnerabilidades listadas en el registro CISA KEV, aquellas presentes en software utilizado por agencias federales y vulnerabilidades en software crítico como sistemas operativos, navegadores web y software de seguridad. La decisión, efectiva desde el 15 de abril, es una respuesta a la incapacidad de NIST para mantenerse al día con el ritmo de descubrimiento de vulnerabilidades, exacerbada por recortes presupuestarios. Esta medida implica que las empresas de gestión de vulnerabilidades deberán buscar fuentes alternativas de datos o realizar su propio enriquecimiento. Además, NIST dejará de proporcionar sus propias puntuaciones CVSS, utilizando en su lugar las asignadas por la organización que reportó la vulnerabilidad, lo que podría generar controversia debido a posibles sesgos en la evaluación de la gravedad. Se espera que la integración de herramientas de escaneo de vulnerabilidades basadas en IA aumente aún más el volumen de CVEs, haciendo insostenible el modelo anterior de NIST.