Instituto Nacional de Padrões e Tecnologia dos Estados Unidos, reforma completa na operação do banco de dados de vulnerabilidades... começando por reforçar as "CVE de alto risco"

O Instituto Nacional de Padrões e Tecnologia dos Estados Unidos(NIST) fez uma grande alteração na forma de operação do Banco de Dados de Vulnerabilidades do Governo(NVD). A partir de agora, não será mais realizado um análise em lote de todas as divulgações de vulnerabilidades gerais recebidas(CVE), mas sim uma mudança para um sistema de “triagem baseada em risco” que prioriza vulnerabilidades com risco real mais elevado.

Essa medida foi tomada devido ao aumento exponencial no volume de submissões de CVE, que se tornou difícil de gerenciar pelos métodos atuais. Segundo o NIST, de 2020 a 2025, o número de CVE submetidos cresceu 263%, e no primeiro trimestre de 2026, o volume de submissões também aumentou cerca de um terço em relação ao mesmo período do ano anterior. O NIST explica que, embora em 2025 tenham sido reforçadas cerca de 42 mil informações de CVE, um aumento de 45% em relação ao ano anterior, isso ainda não foi suficiente para acompanhar a velocidade de crescimento.

A partir de agora, a análise começará pelas “vulnerabilidades mais perigosas”

De acordo com o novo padrão, o NIST dará prioridade apenas às CVE que atendam a três condições: estar na lista de “Vulnerabilidades Conhecidas e Exploited” da Agência de Segurança de Infraestrutura e Cibersegurança dos EUA(CISA); afetar softwares utilizados pelo governo federal dos EUA; e impactar produtos relacionados ao “software crítico” mencionado na Ordem Executiva nº 14028.

Especialmente, para as vulnerabilidades listadas na lista KEV da CISA, o objetivo é que a reforço seja concluída em até um dia útil após a submissão. CVEs que não estejam nesta lista continuarão a ser registradas no NVD, mas serão classificadas como “não agendadas”. Nesses casos, as equipes de segurança não terão seus scores de risco ou informações de produto automaticamente atualizados ao determinar a prioridade de patches.

Limpeza do backlog acumulado desde 2024

O NIST também planeja limpar o backlog acumulado desde o início de 2024. Em princípio, CVEs que já estejam publicamente disponíveis no NVD, mas ainda não reforçadas, serão movidas para a categoria de “não agendadas” até 1 de março de 2026. No entanto, vulnerabilidades listadas na lista KEV não estarão incluídas nesta limpeza.

Alguns processos também serão simplificados. Se a instituição responsável pelo CVE(CNA) fornecer sua própria pontuação de risco, o NIST não calculará novamente a mesma pontuação. Além disso, para CVEs já modificadas, não será feita uma análise a cada atualização, a não ser que a mudança tenha impacto substancial nos dados de reforço.

A inteligência artificial é apontada como uma das razões para o aumento nos relatórios de vulnerabilidades

Embora o NIST não tenha declarado explicitamente que a inteligência artificial(AI) seja a causa, o setor acredita que a IA é um dos fatores-chave que impulsionam a tendência de crescimento do CVE. Vincento Jojio, cofundador e CEO da empresa de detecção e resposta a ameaças de identidade SlashID, afirmou: “O aumento nos relatórios de vulnerabilidades verificadas descobertas por IA”, e “algumas análises indicam que o número de vulnerabilidades reportadas no ano passado mais que dobrou.”

Ele avalia a mudança de política como “uma ajustamento razoável, pois as categorias mais importantes continuarão sendo tratadas”. E prevê que, com a melhora do desempenho dos grandes modelos de linguagem(LLM), as organizações poderão avaliar por conta própria a prioridade e o contexto das vulnerabilidades, reduzindo gradualmente a dependência de “reforço de CVE” externo.

“Agora não podemos mais esperar pela pontuação do CVE”

Shane Flay, CTO da RunSafe Security, destacou que o anúncio envia um sinal claro ao setor. Ele afirmou: “Isso significa que a era de esperar pela pontuação do CVE para agir acabou.”

Flay reforçou que, dado que a visibilidade das vulnerabilidades é inerentemente incompleta, empresas e organizações não devem confiar apenas em um banco de dados único, mas combinar várias fontes de informações de vulnerabilidades para fazer avaliações mais precisas. Ele acrescentou que também é importante criar uma defesa que possa impedir a exploração de vulnerabilidades desconhecidas, mesmo antes do lançamento de patches ou avaliações oficiais.

Essa reforma se aproxima mais de uma mudança na estrutura de mercado do que de uma simples alteração administrativa. Em um ambiente de aumento de vulnerabilidades, a abordagem de analisar todos os projetos com o mesmo nível de profundidade atingiu seus limites, levando o NIST a focar na priorização por “prioridade”. No campo da segurança, no futuro, será mais importante combinar inteligência de ameaças e o estado dos ativos para uma avaliação mais rápida, em vez de esperar apenas pelas avaliações do NVD.