NIST marca CVEs previos a 2018 como ‘Diferidos’ y dejará de enriquecerlos
El Instituto Nacional de Estándares y Tecnología (NIST) ha anunciado un cambio significativo en su enfoque hacia las vulnerabilidades comunes y exposiciones (CVEs) registradas antes de 2018. Según la institución, estos registros han sido marcados como “Deferred” (Diferidos) en la Base de Datos Nacional de Vulnerabilidades (NVD), lo que significa que ya no dedicará recursos para enriquecerlos con metadatos adicionales.
Implicaciones técnicas de la decisión
La medida afecta directamente a cómo se gestionan y priorizan las vulnerabilidades históricas en el ecosistema de seguridad informática. Entre los cambios clave:
- Falta de actualización de metadatos: Los CVEs diferidos no recibirán puntuaciones CVSS actualizadas, referencias cruzadas o descripciones mejoradas.
- Impacto en herramientas de escaneo: Sistemas automatizados que dependen de datos estructurados del NVD podrían generar falsos negativos para vulnerabilidades antiguas.
- Priorización de recursos El NIST enfocará sus esfuerzos en vulnerabilidades recientes y backlog actual, mejorando la calidad de los datos para amenazas contemporáneas.
Contexto y razones detrás del cambio
Esta decisión responde a varios factores técnicos y operativos:
- Volumen de datos: El NVD contiene más de 160,000 CVEs registrados antes de 2018, muchos con información incompleta o desactualizada.
- Cambios en los estándares: La metodología para evaluar vulnerabilidades ha evolucionado significativamente desde 2018, haciendo que algunos datos antiguos sean menos relevantes.
- Limitaciones de recursos: Mantener y actualizar toda la base histórica consume recursos que podrían destinarse a vulnerabilidades activamente explotadas.
Recomendaciones para equipos de seguridad
Las organizaciones deben adaptar sus procesos considerando este cambio:
- Actualizar herramientas de gestión de vulnerabilidades: Verificar que los sistemas puedan manejar correctamente CVEs marcados como diferidos.
- Complementar con otras fuentes: Utilizar bases como MITRE CVE o proveedores comerciales para obtener datos completos sobre vulnerabilidades antiguas.
- Revisar políticas de parcheo: Evaluar si vulnerabilidades pre-2018 siguen siendo relevantes para el entorno específico de cada organización.
Esta decisión refleja un enfoque pragmático en la gestión de vulnerabilidades, priorizando recursos limitados donde pueden tener mayor impacto en la seguridad actual. Sin embargo, las organizaciones deben ser conscientes de sus implicaciones en sus programas de gestión de vulnerabilidades.
