O que é / Contexto

O National Institute of Standards and Technology (NIST) anunciou que deixará de atribuir pontuações de severidade para vulnerabilidades de baixa prioridade. Essa decisão foi tomada devido ao aumento considerável no volume de submissões, que cresceu 263% recentemente.

Como funciona

A partir de agora, o NIST apenas fornecerá detalhes adicionais para vulnerabilidades que atendam a critérios específicos, como aquelas listadas no catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) da CISA, que afetam o software do governo federal dos EUA ou que envolvem software crítico conforme a Ordem Executiva 14028.

Sinais de alerta / Como identificar

Para identificar vulnerabilidades críticas, fique atento a:

• Listagens no catálogo KEV da CISA
• Notificações de software crítico conforme a Ordem Executiva 14028
• Avaliações de autoridades de numeração CVE

O que fazer agora / Como se proteger

Empresas e usuários devem:

• Monitorar regularmente a National Vulnerability Database (NVD)
• Priorizar atualizações para vulnerabilidades críticas listadas no KEV
• Implementar práticas de segurança robustas e atualizadas

Checklist prático

1. Verifique a NVD regularmente
2. Atualize sistemas com base no KEV
3. Revise e melhore suas práticas de segurança

Perguntas frequentes

O que é o NIST?

O NIST é uma agência federal dos EUA que desenvolve padrões e diretrizes para melhorar a segurança cibernética.

Por que o NIST parou de avaliar falhas de baixa prioridade?

Devido ao aumento no volume de submissões, que tornou a tarefa insustentável.

Como isso me afeta?

Empresas podem precisar ajustar suas estratégias de segurança para focar em vulnerabilidades críticas.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao, SGSI, Plano Diretor de Seguranca e Auditoria Interna. lcsec.io

Fontes:
https://www.bleepingcomputer.com/news/security/nist-to-stop-rating-non-priority-flaws-due-to-volume-increase/