NIST trækker i nødbremsen: CVE‑analysen indsnævres

Mængden af kendte sårbarheder vokser hurtigere, end selv de mest velpolstrede myndigheder kan følge med. Det erkender det amerikanske National Institute of Standards and Technology (NIST) nu åbent. Som svar på en eksplosiv stigning i antallet af indrapporterede sårbarheder har NIST besluttet markant at indsnævre, hvilke CVE’er der fremover bliver analyseret og beriget i National Vulnerability Database (NVD).

Det skriver Cyberscoop med henvisning til en pressemeddelelse fra NIST.

Beslutningen betyder, at NIST fremover vil prioritere tre kategorier: sårbarheder, der indgår i CISA’s Known Exploited Vulnerabilities‑katalog, software anvendt i den føderale administration, samt såkaldt “kritisk software” defineret under Executive Order 14028. Alle øvrige CVE’er vil fortsat blive registreret, men uden automatisk tilføjelse af metadata som CVSS‑score, påvirkningsanalyse og referencer.

Beslutningen er en erkendelse af virkeligheden, snarere end det er udtryk for en ny strategi.

Et system under pres

Ifølge NIST selv analyserede myndigheden knap 42.000 sårbarheder i 2025. Samtidig er antallet af CVE‑indsendelser steget med hele 263 procent fra 2020 til 2025 – og kurven peger fortsat stejlt opad. Allerede i første kvartal af 2026 lå antallet af indsendelser næsten en tredjedel over samme periode året før. En “indsendelse” er, når en sårbarhed formelt bliver meldt ind til CVE‑systemet med henblik på at få tildelt et CVE‑ID og blive registreret offentligt. En stigning i indsendelser på 263 pct. er dermed et udtryk for, at NIST skal håndtere 263 pct flere sårbarheder, som sårbarhedsøkosystemet har fundet, tilvejebragt og givet videre til myndigheden.

Det er et tempo, som NVD‑programmet ikke har været dimensioneret til. En midlertidig finansieringspause i begyndelsen af 2024 førte til, at NIST i en periode helt måtte stoppe berigelsen af nye CVE’er. Den ophobede pukkel af ubehandlede sårbarheder er endnu ikke afviklet – og den vokser fortsat, fremgår det.

Set i det lys er NIST’s beslutning mindre dramatisk, end den umiddelbart lyder. Alternativet var ikke en fuldt dækkende NVD, men en database, der langsomt mistede sin aktualitet.

Fra universel reference til risikobaseret katalog

NVD har i årevis fungeret som den de facto globale reference for sårbarhedsdata. Med den nye tilgang bevæger databasen sig tydeligt i retning af et risikobaseret katalog med fokus på systemisk betydning frem for fuldstændighed.

NIST lægger ikke skjul på konsekvenserne: Brugere vil opleve, at mange CVE’er fremover mangler den detaljeringsgrad, man har været vant til. Argumentet er, at sårbarheder uden for de prioriterede kategorier sjældent udgør en bred, samfundsmæssig risiko – også selvom de kan være alvorlige i konkrete miljøer.

Det er et synspunkt, der deles af flere i sårbarhedsmiljøet. Trusselsanalytikere har længe peget på, at forsvarere bruger uforholdsmæssigt meget tid på fejl, der aldrig bliver udnyttet. Tal fra private aktører viser, at kun omkring én procent af de titusindvis af nye sårbarheder hvert år reelt observeres udnyttet i praksis.

Mere magt til CNAs – og til markedet

En direkte konsekvens af omlægningen er, at CVE Numbering Authorities (CNA’er) og kommercielle leverandører får en mere central rolle. NIST har samtidig meddelt, at CVE’er, der allerede er indsendt med en severity‑vurdering, ikke længere automatisk vil få tildelt en selvstændig CVSS‑score fra NIST.

Dermed bevæger ansvaret for prioritering og fortolkning sig yderligere væk fra én central myndighed og ud mod økosystemet af producenter, forskere og sikkerhedsleverandører. For nogle vil det være en velkommen modernisering; for andre et tab af en fælles, neutral reference.

Ironisk nok kan det vise sig at være en styrke. Når autoriteten fragmenteres, bliver det vanskeligere at gemme sig bag en enkelt score eller et enkelt katalog.

Et strukturelt problem – ikke et amerikansk særtilfælde

NIST’s kursændring er i virkeligheden et symptom på et bredere strukturelt problem i cybersikkerheden. Antallet af softwarekomponenter, afhængigheder og opdateringscyklusser er eksploderet, mens vores grundlæggende model for håndtering af sårbarheder stort set er uændret siden CVE‑systemets barndom.

At Microsoft alene kan lukke 165 sårbarheder på én måned – den næststørste Patch Tuesday nogensinde – illustrerer, hvor lidt mening det giver at behandle alle sårbarheder som lige presserende, skriver Cyberscoop.

NIST kalder selv ændringen nødvendig for at sikre, at NVD forbliver “pålidelig, bæredygtig og offentligt tilgængelig”.  

For sikkerhedsprofessionelle betyder ændringen ikke, at sårbarheder forsvinder. De bliver blot sværere at ignorere ved at henvise til, at “NVD ikke har sagt noget endnu”.

NVD bevæger sig fra at være et komplet opslagsværk til at fungere mere som et kompas: Den peger på det, der med størst sandsynlighed betyder noget på tværs af sektorer. Resten må håndteres lokalt – med faglig dømmekraft, kontekstforståelse og egne prioriteringer.