O Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos anunciou uma mudança significativa em sua abordagem para a análise de vulnerabilidades de cibersegurança, parte do programa Common Vulnerabilities and Exposures (CVE). A partir de agora, nem todas as vulnerabilidades listadas receberão o que a agência denomina “enriquecimento”, ou seja, uma análise detalhada que inclui a atribuição de notas de gravidade. A decisão visa otimizar os recursos do instituto diante de um aumento exponencial no número de falhas descobertas e priorizar as ameaças de maior impacto.
NIST Focará em Vulnerabilidades Críticas para Evitar Sobrecarga
A nova política, divulgada em comunicado oficial, estabelece que o NIST concentrará suas análises aprofundadas em CVEs que atendam a critérios específicos. Entre eles, destacam-se a inclusão no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da Agência de Cibersegurança e Segurança de Infraestrutura (CISA), a presença em softwares utilizados pelo governo federal americano e a associação com softwares críticos. Essa reorientação busca assegurar que os esforços de avaliação se concentrem nas vulnerabilidades que representam o maior risco sistêmico, enquanto o volume total de falhas continua a ser catalogado na Base Nacional de Dados de Vulnerabilidades (NVD).
O Crescimento Explosivo das Vulnerabilidades e o Papel da IA
A principal motivação para a mudança na estratégia do NIST reside no vertiginoso aumento de vulnerabilidades detectadas nos últimos anos. De acordo com o instituto, houve um crescimento de 263% nas descobertas entre 2020 e 2025. Esse fenômeno é amplamente atribuído ao avanço de ferramentas de inteligência artificial (IA) capazes de identificar falhas em softwares de forma mais rápida e eficiente. Tal cenário gerou uma sobrecarga nas instituições responsáveis por manter bases de dados de vulnerabilidades, como o próprio NIST, forçando-as a repensar suas metodologias para lidar com o volume crescente de informações.
Conforme explicado pelo NIST, a nova abordagem permitirá um foco maior nas CVEs com potencial de “impacto generalizado”. Embora vulnerabilidades que não se enquadram nos novos critérios ainda possam ter um impacto significativo em sistemas específicos, elas geralmente não apresentam o mesmo nível de risco sistêmico que as categorizadas como prioritárias. A medida visa, portanto, aprimorar a eficácia na resposta a ameaças cibernéticas em larga escala, garantindo que os recursos limitados sejam direcionados para onde são mais necessários.