Instituto Nacional de Padrões e Tecnologia dos Estados Unidos, reforma completa na operação do banco de dados de vulnerabilidades... começando por fortalecer a partir de "CVE de alto risco"

Instituto Nacional de Padrões e Tecnologia dos Estados Unidos(NIST) fez uma grande mudança na operação do banco de dados de vulnerabilidades(NVD). De agora em diante, não será mais realizado um análise em lote de todas as divulgações de vulnerabilidades gerais recebidas(CVE), mas sim uma mudança para um sistema de “triagem baseada em risco” que prioriza vulnerabilidades com risco real mais alto.

Essa medida ocorre devido ao aumento explosivo no volume de submissões de CVE, que se tornou difícil de gerenciar pelos métodos atuais. Segundo o NIST, de 2020 a 2025, o número de submissões de CVE cresceu 263%, e no primeiro trimestre de 2026, o volume também aumentou cerca de um terço em relação ao mesmo período do ano anterior. O NIST explica que, embora tenham sido reforçadas cerca de 42 mil informações de CVE em 2025, um aumento de 45% em relação ao ano anterior, ainda assim não foi suficiente para acompanhar a velocidade de crescimento.

A partir de agora, a análise começará pelas “vulnerabilidades mais perigosas”

De acordo com o novo padrão, o NIST priorizará apenas CVEs que atendam a três condições para uma “reforço completo”. Incluindo: estar na lista de “Vulnerabilidades Conhecidas e Exploradas” do(CISA), Agência de Segurança Cibernética e Infraestrutura dos EUA; afetar softwares utilizados pelo governo federal dos EUA; e impactar produtos relacionados à “software crítico” na ordem executiva nº 14028.

Especialmente, para vulnerabilidades listadas na lista KEV do CISA, o objetivo é completar o reforço em até um dia útil após a submissão. CVEs que não estejam nesta lista continuarão a ser registrados no NVD, mas serão classificados como “não agendados”. Nesses casos, a pontuação de risco e as informações do produto usadas pelos times de segurança para determinar a prioridade do patch não serão adicionadas automaticamente.

Limpeza do acúmulo de trabalho desde 2024

O NIST também planeja limpar o acúmulo de trabalho desde o início de 2024. Em princípio, CVEs que já estejam publicamente disponíveis no NVD, mas ainda não reforçados, serão movidos para a categoria de “não agendados” até 1º de março de 2026. Contudo, vulnerabilidades listadas na lista KEV não entram nesta limpeza.

Alguns processos também serão simplificados. Se a instituição responsável pelo(CNA) fornecer uma pontuação de risco, o NIST não calculará novamente a mesma pontuação. Além disso, para CVEs já modificados, não será feita uma análise a cada atualização, apenas quando as mudanças tiverem impacto substancial nos dados de reforço.

Inteligência artificial é apontada como causa do aumento nos relatórios de vulnerabilidades

Embora o NIST não tenha indicado diretamente que(AI) seja a causa, o setor acredita que a inteligência artificial é um dos fatores-chave para impulsionar a tendência de crescimento de CVEs. Vincento Jojio, cofundador e CEO da empresa de detecção e resposta a ameaças de identidade SlashID, afirmou: “O aumento nos relatórios de vulnerabilidades verificadas descobertas por IA”, e “algumas análises indicam que o número de vulnerabilidades reportadas só no ano passado dobrou.”

Ele avalia que essa mudança de política é “uma adaptação razoável, pois as categorias mais importantes continuarão sendo tratadas”. E prevê que, com a melhora do desempenho dos modelos de linguagem de grande escala(LLM), as organizações poderão avaliar a prioridade e o contexto das vulnerabilidades por conta própria, reduzindo gradualmente a dependência de “reforço de CVE” externo.

“Agora não dá mais para esperar a pontuação do CVE”

Shane Flay, CTO da RunSafe Security, destacou que o anúncio envia um sinal claro ao setor. Ele afirmou: “Isso significa que a era de esperar a pontuação do CVE para agir acabou.”

Flay reforçou que, dado que a visibilidade das vulnerabilidades é inerentemente incompleta, empresas e organizações não devem confiar apenas em um banco de dados, mas combinar várias fontes de informações de vulnerabilidades para fazer julgamentos mais precisos. Ele acrescentou que também é importante criar uma defesa que possa impedir a exploração de vulnerabilidades desconhecidas, mesmo antes do lançamento de patches ou avaliações oficiais.

Essa reforma se aproxima mais de uma mudança na estrutura de mercado do que de uma simples alteração administrativa. Em um ambiente de aumento de vulnerabilidades, a abordagem de analisar todos os projetos com a mesma profundidade atingiu seus limites, levando o NIST a focar na priorização. No campo da segurança, no futuro, será mais importante avaliar rapidamente ameaças e ativos, combinando inteligência de ameaças e o estado dos ativos, do que apenas aguardar as avaliações do NVD.