Die amerikanische Normenagentur, die NIST National Vulnerability Database (NVD), nur den Umfang von dem, was Sie betrachten "Anreicherung" von Schwachstellen. Die Maßnahme reagiert auf eine Lawine von Berichten: die Menge an CVE (Common Vulnerabilities and Exposures), die katalogisiert werden, ist in den letzten Jahren explosiv gewachsen, und NIST gibt zu, dass es nicht mehr mit der gleichen Detailtiefe verarbeiten kann.
Zentrale Veränderung ist einfach, aber signifikant: NIST wird weiterhin alle EQs auflisten, aber nur Anreicherungsinformationen zu denen hinzufügen, die bestimmte Prioritätskriterien erfüllen. Schwachstellen, die nicht in diesen Rahmen fallen, erscheinen als "Nicht geplant" in der Datenbank, das heißt, sie werden registriert, aber nicht erhalten die Erweiterung von Kontext, Metriken und Analyse, die bisher viele Sicherheitsteams für selbstverständlich genommen.
Die Bedingungen, die NIST festgestellt hat, um die Anreicherung zu priorisieren - wirksam seit dem 15. April 2026 - konzentrieren sich auf die möglichen Auswirkungen und die tatsächliche Exposition. Die im Katalog enthaltenen EQs Bekannte Exploited Schwachstellen (KEV) Nein. CISA, die Sicherheitslücken in der Software, die von der US-Bundesregierung verwendet wird, und diejenigen, die als "kritische Software" im Sinne von Hauptauftrag 14028. Diese Kategorie umfasst Programme, die mit hohen oder verwalteten Privilegien betrieben werden, den Zugang zu sensiblen Netzwerken oder Ressourcen, Kontrolldaten oder Industriebetrieben verwalten oder außerhalb normaler Vertrauensgrenzen mit privilegierter Zugangskapazität arbeiten.
Es ist wichtig zu beachten, dass die suspendierten EQs für die Anreicherung nicht verschwinden: Sie sind noch in der Datenbank verfügbar. Diejenigen, die glauben, dass eine ungeplante Verwundbarkeit von hoher Wirkung ist, können ihre Neubewertung fordern Senden einer E-Mail an nvd @ nist.gov; NIST wird überprüfen und, falls erforderlich, Zeitplan Anreicherung.
Das operative Motiv hinter all dem ist nicht weniger. NIST-Details, die das Volumen der Sendungen erhöht hat: Zwischen 2020 und 2025 stieg die Anzahl der empfangenen CVE um rund 263%, und im Jahr 2025 fügte die Agentur Anreicherung auf etwa 42.000 Einträge, eine Zahl gut über Vorjahre. Darüber hinaus zeigen die ersten Monate von 2026 ein noch größeres Tempo neuer Benachrichtigungen. Dieser Druck hat die Agentur dazu gezwungen, zu entscheiden, wo menschliche und technische Ressourcen angewendet werden, um den systemischen Schutz zu maximieren.
Neben dem Filter pro Priorität hat NIST operative Anpassungen eingeführt, die die Art und Weise verändern, wie die Informationen dargestellt und aktualisiert werden. Die Organisation wird nicht mehr routinemäßig eine separate Schwere Punktzahl generieren, wenn die CVE Numbing Authority (CNA) bereits ihre eigene Bewertung veröffentlicht hat. Die modifizierte CVE wird nur dann neu analysiert, wenn die Änderung einen wesentlichen Einfluss auf Anreicherungsdaten hat und sich in den Zustand bewegt hat. "Nicht geplant" alle unangereicherten Einträge mit dem Datum der Veröffentlichung vor dem 1. März 2026 (außer im KEV-Katalog). NIST hat auch die Status-Tags und seine aktualisiert Das ist das diese Übergänge in Echtzeit reflektieren.
Die Nachrichten haben Reaktionen in der Branche erzeugt. Forscher von Sicherheitsunternehmen betonen, dass die Entscheidung für eine Risikobasierte Priorisierung einen praktischen Schritt zurück gegen die Unmöglichkeit einer umfassenden manuellen Anreicherung. Von VulnCheck Es wird darauf hingewiesen, dass die Transparenz von NIST die Erwartungen festlegt, während die Bewegung Organisationen verlässt, die ausschließlich von NVD mit weniger klaren Routen abhängig sind, um eine bereicherte Analyse vieler Schwachstellen zu erhalten. Laut branchenspezifischen Daten gibt es noch Tausende von 2025 Fehlern ohne zugewiesene CVSS-Score.
Für andere Experten markiert die Maßnahme das Ende einer Zeit, in der ein einziges von der Regierung verwaltetes Projektarchiv ausreichte, um den Risikobereich zu bewerten. Sicherheitsbeamte haben darauf hingewiesen, dass die neue Realität erfordert, dass Organisationen proaktivere und bedrohungsorientierte Ansätze annehmen: Priorität muss dem gegeben werden, was wirklich in der realen Welt ausgenutzt wird, Listen wie die KEV zu folgen und in ausbeuterischen Metriken einzurichten. Unternehmen wie Contre Security haben kommentiert, dass diese Änderung vererbte Audit-Ströme unterbricht, gleichzeitig aber eine operative Reife fördert, bei der eine handlungsfähige Teilmenge aus gehärteten Daten gegen eine vollständige und unübertroffene Datei bevorzugt wird.
Was bedeutet das für Sicherheitsteams und Administratoren? In der Praxis empfiehlt der Übergang, die internen Kapazitäten zu stärken: den Asset Inventar gut zu kennen, die Aufnahme von Echtzeit-Betriebs-Feeds (z.B. KEV) zu automatisieren, Bedrohungsintelligenz in prioritäre Prozesse zu integrieren und sicherzustellen, dass die Werkzeuge selbst von Echtzeit-Ausbeutungspunkten und Metriken profitieren. Es ist auch angebracht, direkte Kanäle mit Softwareanbietern und CVE-Nummernbehörden zu pflegen, um Frühwarnungen und Patches zu erhalten.
Letztlich unterstreicht die NIST-Entscheidung eine klare Lektion aus der aktuellen Umgebung: Die Zahl der Schwachstellen wächst mit einer Rate, die eine manuelle und einheitliche Behandlung unmöglich macht. Der Fokus bewegt sich von der Vollständigkeit zur operativen Wirksamkeit indem Ressourcen ausgewählt werden, um das zu mindern, was das Ökosystem als Ganzes bedroht. Um sich selbst zu verteidigen, müssen Organisationen ihren Schritt in Richtung Automatisierung, Orchestrierung und Zusammenarbeit mit externen Intelligenzquellen beschleunigen, denn was Verteidiger nicht priorisieren wird, wird zweifellos ein Angreifer sein.
Um offizielle Updates zu verfolgen und neue Sicherheitszustände zu konsultieren, ist der Ausgangspunkt NVD selbst in https: / / nvd.nist.gov / den KEV Katalog der CISA. Der Rahmenleitfaden für kritische Software und die Absicht der Priorisierung sind in dem vom Weißen Haus veröffentlichten Exekutivtext in Bezug auf das Hauptauftrag 14028 die viele dieser öffentlichen politischen Entscheidungen weiterleiten.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...