Timp de două decenii, NVD (Baza de date națională privind vulnerabilitățile) a constituit, de facto, fundamentul gestionării vulnerabilităților. Scanerele, sistemele SIEM, instrumentele de aplicare a patch-urilor și cadrele de conformitate se bazau toate pe premisa că, odată ce un CVE apărea în NVD, analiștii NIST adăugau prompt scorurile de gravitate, corespondențele cu versiunile de produs și metadatele contextuale care fac ca un ID CVE brut să devină cu adevărat util.
La 15 aprilie 2026, această ipoteză a încetat oficial să mai fie valabilă.
NIST a anunțat că NVD trece la un model de îmbogățire a datelor bazat pe risc. Majoritatea noilor CVE-uri introduse în baza de date nu vor mai primi, în mod implicit, scorul CVSS adăugat de NIST, nici maparea produselor CPE și nici o analiză independentă. Pentru organizațiile ale căror fluxuri de lucru privind vulnerabilitățile depind de datele îmbogățite de NVD, acest lucru creează o problemă reală și tot mai mare de acoperire. Pentru dezvoltatorii și furnizorii de produse de securitate care încorporează aceste date în instrumentele lor, se ridică o întrebare și mai pertinentă: ce anume vă spune acum fluxul dvs. de date?
NVD nu mai poate ține pasul cu vulnerabilitățile semnalate
Conform anunțului făcut de NIST, numărul de raportări CVE a crescut cu 263% între anii 2020 și 2025, iar în primul trimestru al anului 2026 se înregistra deja o creștere de aproape o treime față de aceeași perioadă a anului precedent.
În 2025, NIST a completat aproape 42.000 de vulnerabilități CVE, ceea ce reprezintă o creștere de 45% față de orice an anterior. Totuși, această creștere a productivității nu a fost suficientă pentru a ține pasul cu numărul tot mai mare de sesizări, ceea ce a dus la instituirea unui sistem formalizat de triere.
Începând cu 15 aprilie 2026, NIST va completa cu informații suplimentare doar vulnerabilitățile care figurează în catalogul KVE (Known Exploited Vulnerabilities) al CISA, în software-ul utilizat de guvernul federal sau în software-ul desemnat ca fiind critic în temeiul Ordinului executiv 14028. Toate celelalte vulnerabilități vor fi listate în NVD, dar fără informațiile suplimentare adăugate de NIST și nu vor fi procesate imediat.
Prin urmare, aproape 300.000 de vulnerabilități CVE restante, publicate înainte de 1 martie 2026, au fost mutate în bloc în categoria „Neplanificate”.
În ceea ce privește vulnerabilitățile CVE care nu se încadrează în criteriile de prioritate ale NIST, de acum înainte, scorurile de gravitate vor fi stabilite pe baza informațiilor furnizate de autoritatea de numerotare CVE (CNA) – de obicei, furnizorul software-ului afectat – și nu în urma unei analize independente efectuate de NIST. De asemenea, NIST nu va mai recalcula scorurile de gravitate în cazul în care o CNA a furnizat deja unul.
Fiecare instrument important de scanare a vulnerabilităților, fiecare regulă de corelare SIEM, fiecare scor de risc generat de terți și fiecare cadru de conformitate cu reglementările, de la PCI DSS până la FedRAMP, se bazează pe fluxul de îmbogățire a datelor NVD.
Odată cu această actualizare, acest proces s-a restrâns oficial, ceea ce duce la situații în care vulnerabilitățile CVE potențial periculoase nu sunt catalogate ca atare sau nu sunt descoperite la timp.
Există un factor suplimentar de accelerare care merită luat în considerare, întrucât scăderea nivelului de sofisticare a amenințărilor se suprapune cu proliferarea rapidă a metodelor de detectare a amenințărilor asistate de IA.
Modelele avansate de inteligență artificială și instrumentele de programare reduc semnificativ dificultățile legate de identificarea vulnerabilităților exploatabile și a căilor complexe de atac din aplicații, determinând o creștere bruscă a numărului de vulnerabilități CVE raportate. În februarie 2026, Forumul echipelor de securitate și de răspuns la incidente (FIRST) a prevăzut că în 2026 vor fi raportate 50.000 de vulnerabilități CVE suplimentare, un număr record. Infrastructura actuală de îmbogățire a datelor nu este pregătită să gestioneze acest volum la același nivel de calitate ca până acum.
De ce produsele bazate exclusiv pe NVD prezintă o problemă
O înregistrare CVE brută include, de obicei, un ID, o descriere și referințe. Metadatele care stau la baza gestionării automate a vulnerabilităților au provenit, în trecut, de la analiștii NVD. Aceste date se referă la scoruri de gravitate CVSS validate independent, la corelări ale produselor CPE și la clasificări ale punctelor slabe CWE.
Dar „îmbogățirea” este ceea ce face ca un CVE să poată fi tratat. Fără aceasta, fluxurile de lucru care depind de ea se deteriorează în moduri previzibile.
Prioritizarea bazată pe CVSS devine mai puțin eficientă
Atunci când un scaner sau un instrument de aplicare a patch-urilor se așteaptă să găsească un scor de gravitate furnizat de NVD și nu găsește niciunul, vulnerabilitatea poate apărea ca având „gravitate necunoscută”, poate ieși din sfera politicilor de aplicare a patch-urilor bazate pe SLA sau poate fi retrogradată în ordinea priorităților.
Actualizarea NIST din aprilie 2026 a confirmat că:
- Vulnerabilitățile CVE care nu se încadrează în noile criterii de prioritate nu vor fi evaluate automat în mod independent
- NIST nu va mai genera propriul scor CVSS atunci când un CNA a furnizat deja unul (chiar dacă acel CNA este furnizorul software-ului afectat)
O mapare CPE deficitară sau inexistentă duce la o detectare CVE ineficientă
Documentația proprie a NVD descrie identificarea produselor ca fiind o componentă fundamentală a procesului de îmbogățire a datelor, deoarece permite consumatorilor să verifice automat dacă o vulnerabilitate cunoscută afectează produsele din mediul lor.
Dacă corespondențele CPE lipsesc, sunt incomplete sau întârziate, instrumentele care se bazează în principal pe potrivirea CPE ar putea să nu identifice potrivirea sau să o identifice cu întârziere.
Furnizorii de produse de securitate se numără printre cei mai afectați, întrucât produsele lor depind adesea de identificarea echipamentelor CPE și de completarea bazelor de date CVE. Instrumentele de gestionare a patch-urilor, de protecție a terminalelor, de control al accesului la rețea și de gestionare a activelor se bazează pe informații precise privind vulnerabilitățile pentru a stabili ce este afectat, cât de gravă este problema și ce măsuri trebuie luate în continuare.
Pentru echipele care dezvoltă noi produse de securitate, a porni doar de la NVD înseamnă a construi pe o bază care poate prezenta deja lacune importante: acoperire limitată a vulnerabilităților de tip zero-day, lipsa datelor de îmbogățire pentru o proporție tot mai mare de CVE-uri și cicluri de actualizare care ar putea avea dificultăți în a ține pasul cu viteza cu care inteligența artificială descoperă și exploatează vulnerabilitățile.
Pentru echipele care dispun deja de capacități de aplicare a patch-urilor sau de remediere, riscul este diferit, dar la fel de important. Eficiența unui motor de remediere depinde în totalitate de informațiile privind vulnerabilitățile pe care le primește. Dacă aceste informații sunt incomplete, întârziate sau depind excesiv de datele de îmbogățire provenite din NVD, fluxurile de lucru ulterioare pot omite produsele afectate, pot acorda o prioritate redusă vulnerabilităților cu gravitate necunoscută sau pot eșua în a lua măsuri înainte ca expunerea să crească.
Dacă aceste produse preiau punctele slabe ale NVD, aceste puncte slabe ar putea fi preluate de fiecare client din aval.
Aceasta este lacuna pe care a fost concepută să o acopere evaluarea vulnerabilităților OESIS Framework: să ajute echipele responsabile de produsele de securitate să-și consolideze informațiile privind vulnerabilitățile fără a se baza exclusiv pe îmbogățirea datelor din NVD.
Cum OPSWAT această problemă într-un mod diferit
OPSWAT modulul de evaluare a vulnerabilităților din cadrul OESIS special pentru dezvoltatorii de produse de securitate care au nevoie de date fiabile și utile privind vulnerabilitățile, integrate în instrumentele lor.
Conceput pentru a acoperi lacuna
Modulul reunește mai multe surse, în loc să se bazeze pe o singură sursă.
Acesta utilizează o gamă variată de surse comerciale și deschise de informații privind vulnerabilitățile pentru a asigura o acoperire promptă și precisă pentru sute de furnizori și aplicații.
Catalogul de vulnerabilități OESIS cuprinde în prezent peste 65.000 de coduri CVE unice și mai mult de 150.000 de instanțe de vulnerabilități, fiind actualizat în mod continuu — de mai multe ori pe zi — fără a mai fi necesar să se aștepte ciclurile de procesare ale NVD.
Un sistem propriu de evaluare a gravității care depășește standardul CVSS, oferind mai multe informații contextuale.
Datele privind vulnerabilitățile OPSWAT includ OPSWAT Score”, un sistem de evaluare propriu care depășește standardul CVSS de bază prin integrarea unor indicatori suplimentari, printre care popularitatea CVE, riscul de compromitere și ciclul de viață al CVE.
Într-un context în care o proporție din ce în ce mai mare a scorurilor CVSS ar putea fi raportată de către CNA, acest nivel independent de analiză ar putea ajuta produsele de securitate să ofere utilizatorilor lor un indicator de prioritizare mai bine fundamentat.
Serviciul de informații privind vulnerabilitățile OESIS oferă două modalități de integrare, fără o perioadă de adaptare complexă:
- Flux de date din catalog: Sincronizați datele privind vulnerabilitățile din OESIS cu inventarul software existent la nivel de server — fără a fi necesar un agent la nivel de terminal. Produsele existente dotate cu funcționalități de inventariere a software-ului pot utiliza datele din OESIS pentru a detecta vulnerabilitățile la nivelul resurselor gestionate.
- Endpoint (kitSoftware ): Integrați cadrul OESIS direct în produsul dumneavoastră pentru vulnerability detection în timp real, direct pe dispozitiv. Este ideal pentru produsele de securitate care rulează pe dispozitivele finale
Cercetarea internă privind vulnerabilitățile
Echipa internă de cercetare a amenințărilor OPSWAT, Unit 515, desfășoară în mod continuu activități de cercetare în domeniul securității ofensive, simulări de atac, teste avansate și divulgare responsabilă în cadrul infrastructurilor critice și al software-ului pentru întreprinderi. Echipa a identificat și raportat peste 50 de vulnerabilități de tip zero-day, inclusiv descoperiri critice în software-ul utilizat pe scară largă, precum platformele ICS/OT, cum ar fi PLC-urile Delta, și platformele native pentru IA.
Rezultatul net pentru dezvoltatorii de produse de securitate este că instrumentele lor ar putea menține o acoperire mai extinsă a vulnerabilităților chiar și pe măsură ce domeniul de acoperire al NVD se restrânge — fără a obliga clienții să accepte o vizibilitate redusă sau soluții manuale de compromis.
Detectare + Remediere: Ciclul complet
Detectarea identifică punctele vulnerabile. Remedierea le rezolvă. Împreună, acestea contribuie la reducerea la minimum a riscurilor. OESIS Vulnerability Assessment se ocupă de detectare și prioritizare. OESIS Patch Management este disponibil pentru echipele care doresc să beneficieze de ambele funcționalități într-un singur cadru:
- Detectare: Aplicații vulnerabile, corelate cu versiunea, OPSWAT și marcate de KEV
- Stabilirea priorităților: OPSWAT ajută la identificarea problemelor care trebuie rezolvate în primul rând, pe baza semnalelor de exploatare din mediul real
- Soluție: Infrastructura existentă poate procesa datele de ieșire ale OESIS — sau OESIS Patch Management aplica patch-uri, impune versiuni sau bloca accesul direct
- Verificare: OESIS efectuează o nouă scanare după remediere pentru a se asigura că terminalul este curat înainte de restabilirea accesului
Detectarea fără remediere reprezintă doar un raport. Detectarea urmată de remediere înseamnă un risc eliminat. OESIS își propune să ofere produsului dumneavoastră ambele, contribuind la închiderea mai rapidă a ciclurilor de detectare și remediere, pentru a ține pasul mai bine cu amenințările generate de inteligența artificială.
Vulnerabilitățile AI-Speed necesită detectarea AI-Speed
Producătorii de soluții de securitate nu își pot permite să trateze informațiile privind vulnerabilitățile ca pe o dependență secundară cu evoluție lentă. Pe măsură ce numărul de vulnerabilități CVE crește, iar procesul de îmbogățire a datelor devine mai puțin consistent, echipele de dezvoltare au nevoie de o metodă prin care fluxurile de lucru legate de detectare, prioritizare și remediere să rămână aliniate la expunerea reală la riscuri.
Aici intervine OESIS Framework Vulnerability Assessment. Acesta oferă dezvoltatorilor de produse o modalitate practică de a îmbunătăți acoperirea vulnerabilităților fără a fi nevoie să-și reconstruiască de la zero infrastructura pentru dispozitive finale sau procesul de remediere. Pentru echipele care lansează un produs nou, acesta poate contribui la stabilirea mai rapidă a unei acoperiri credibile. Pentru echipele care îmbunătățesc un produs existent, acesta oferă o modalitate mai simplă de a compara acoperirea, de a valida îmbunătățirile și de a decide cum ar trebui să arate o integrare mai profundă.
