NIST Ưu Tiên Làm Giàu Dữ Liệu CVE Trong Danh Sách KEV Của CISA Và Phần Mềm Quan Trọng

Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) vừa công bố cập nhật hoạt động của Cơ sở dữ liệu Lỗ hổng Quốc gia (NVD) nhằm quản lý tốt hơn khối lượng lỗ hổng mới (CVE) hiện nay.

Cập nhật này bao gồm việc áp dụng mô hình dựa trên rủi ro để thêm chi tiết vào các mục CVE, một quy trình trước đây được gọi là "làm giàu" (enrichment).

NIST CSF

Thay đổi chiến lược quản lý lỗ hổng

Trước đây, NIST luôn nỗ lực làm giàu dữ liệu cho tất cả các mục CVE trong NVD. Tuy nhiên, dòng chảy khổng lồ của các CVE mới đang khiến nhiệm vụ này trở nên khó khăn, và viện đã phải vật lộn trong nhiều năm để giải quyết lượng tồn đày ngày càng tăng.

Trong tương lai, NIST sẽ tập trung làm giàu dữ liệu cho các CVE đã được thêm vào danh sách Lỗ hổng Đã được Khai thác (KEV) của Cơ quan An ninh mạng và An ninh cơ sở hạ tầng Hoa Kỳ (CISA) trong vòng một ngày kể từ khi gửi. Ngoài ra, viện cũng sẽ làm giàu dữ liệu cho các lỗ hổng trong phần mềm được các cơ quan liên bang sử dụng và trong phần mềm quan trọng được định nghĩa theo Lệnh hành pháp 14028.

"Thay đổi này được thúc đẩy bởi sự gia tăng đột biến trong việc gửi CVE, tăng 263% giữa năm 2020 và 2025. Chúng tôi không dự đoán xu hướng này sẽ giảm bớt sớm. Số lượng gửi trong ba tháng đầu năm 2026 cao hơn gần một phần ba so với cùng kỳ năm ngoái," NIST cho biết.

Năm ngoái, viện đã làm giàu dữ liệu cho 42.000 CVE, nhưng vẫn tụt hậu so với khối lượng gửi ngày càng tăng. Những thay đổi mới sẽ cho phép viện tập trung vào các CVE quan trọng.

Tiêu chí phân loại mới

Mặc dù các CVE mới vẫn sẽ được thêm vào NVD, chúng sẽ được phân loại là "Không lên lịch" (Not Scheduled) để làm giàu, trừ khi chúng đáp ứng các tiêu chí nêu trên. Tuy nhiên, người dùng có thể yêu cầu thêm chi tiết cho các CVE chưa lên lịch qua email.

"Mặc dù các CVE không đáp ứng các tiêu chí này có thể có tác động đáng kể đến các hệ thống bị ảnh hưởng, nhưng chúng thường không tạo ra cùng mức độ rủi ro mang tính hệ thống như những CVE trong các danh mục được ưu tiên," NIST lưu ý.

Việc triển khai các tiêu chí ưu tiên mới sẽ dẫn đến việc các CVE chưa được làm giàu được công bố trên NVD trước ngày 1 tháng 3 năm 2026 sẽ được chuyển sang danh mục Không lên lịch.

Ngoài ra, viện sẽ không cung cấp điểm nghiêm trọng của riêng mình cho các CVE đã có điểm do Cơ quan Đánh số CVE (CNA) gửi và sẽ không phân tích lại các mục đã được sửa đổi sau khi làm giàu trừ khi các sửa đổi đó ảnh hưởng đáng kể đến dữ liệu làm giàu.

Các nhãn và mô tả trạng thái CVE cũng sẽ được cập nhật, khi NIST nỗ lực truyền đạt tốt hơn trạng thái CVE và cung cấp sự minh bạch về cách viện quản lý khối lượng công việc hiện tại.

"Chúng tôi thừa nhận rằng những thay đổi này sẽ ảnh hưởng đến người dùng. Tuy nhiên, cách tiếp cận dựa trên rủi ro này là cần thiết để quản lý sự gia tăng hiện tại của các CVE gửi trong khi chúng tôi nỗ lực điều chỉnh các hoạt động của mình với nhu cầu của cộng đồng NVD. Sự thay đổi này cũng cho phép chúng tôi dành các nguồn lực cần thiết để phát triển các hệ thống tự động hóa và cải tiến quy trình làm việc nhằm đảm bảo tính bền vững lâu dài cho chương trình," NIST khẳng định.