Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il NIST ha ammesso di non essere in grado di gestire le troppe vulnerabilità di sicurezza che vengono sottomesse nel sistema CVE, e stanno introducendo un nuovo modo per svolgere le analisi. Infatti, solo le falle critiche e che sono attivamente sfruttate, come ad esempio quelle che vengono pubblicate sul CISA KEV, saranno approfondite. L’aumento è legato all'utilizzo massivo delle AI per scoprire bug. Questo cambiamento è un punto critico per la sicurezza informatica globale.
Il flusso di segnalazioni di vulnerabilità è diventato così intenso che persino le agenzie governative non riescono a stargli dietro. Il National Institute of Standards and Technology (NIST) statunitense ha riconosciuto di non poter più elaborare tutte le segnalazioni come prima e sta cambiando le regole del gioco.
Il problema risiede nel sistema Common Vulnerability Exposure (CVE), che raccoglie informazioni sulle vulnerabilità. Finora, gli esperti aggiungevano una descrizione e un livello di gravità a ogni voce dopo che questa veniva inserita nel database delle vulnerabilità. L’agenzia abbandonerà ora questa pratica. Verranno aggiornate solo le voci che soddisfano la nuova soglia di priorità.
Il motivo è semplice. Nei primi tre mesi del 2026, il numero di richieste è aumentato di quasi un terzo rispetto allo stesso periodo dell’anno precedente. Nel 2025, il NIST ha elaborato circa 42.000 vulnerabilità, il 45% in più rispetto al record precedente, ma nemmeno questo ritmo è riuscito a tenere il passo con l’afflusso di nuove segnalazioni.
D’ora in poi, verrà data priorità alle informazioni dettagliate relative alle vulnerabilità presenti nel catalogo federale delle vulnerabilità attivamente sfruttate (KEV), gestito dal CISA. È previsto che tali informazioni vengano aggiornate entro 24 ore dalla notifica. Anche i prodotti utilizzati dalle agenzie governative statunitensi e i software critici riceveranno la priorità.
Le vulnerabilità rimanenti saranno identificate, ma prive di dati aggiuntivi. Questo tipo di perfezionamento è noto nel settore come “arricchimento” e sarà ora selettivo. Inoltre, il NIST non assegnerà più un proprio livello di rischio, ma si baserà sui dati forniti dai segnalatori.
L’agenzia spiega i cambiamenti come un tentativo di concentrarsi sulle problematiche realmente critiche, sviluppando al contempo l’automazione. Senza di essa, il sistema non sarebbe in grado di gestire il carico. Questo aumento è in parte dovuto alla diffusione di strumenti basati sull’intelligenza artificiale, che consentono un rilevamento più rapido anche dei bug minori nei prodotti più diffusi. Allo stesso tempo, crescono le preoccupazioni che i sistemi automatizzati possano non solo rilevare, ma anche sfruttare immediatamente le vulnerabilità.
I problemi si erano accumulati nel tempo. Nel 2024, a causa di tagli al personale e ai finanziamenti, circa il 90% delle segnalazioni risultava ancora irrisolto. La CISA si è quindi fatta carico temporaneamente di parte del lavoro e i rappresentanti del settore si sono appellati al Congresso degli Stati Uniti e al Segretario al Commercio Gene Reimondo per ottenere supporto per il National Vulnerability Database (NVD).
La situazione non è ancora migliorata. Il NIST ha solo 21 dipendenti, eppure il numero di vulnerabilità cresce ogni anno. L’agenzia ha riconosciuto che l’archivio accumulato rimane non elaborato. Tutti i documenti pubblicati prima del 1° marzo 2026, che non sono ancora stati elaborati, saranno riclassificati come “non pianificati”. Tuttavia, alcuni saranno comunque esaminati qualora vi vengano rinvenute informazioni critiche.
Persino l’agenzia stessa riconosce che il nuovo sistema non è perfetto e potrebbe non rilevare problemi seri. Se necessario, gli specialisti potranno richiedere direttamente la revisione di una specifica voce. Il settore ha interpretato questa mossa come un’ammissione di colpa. Dato l’attuale volume di dati, è impossibile analizzare centralmente ogni vulnerabilità. Le priorità sono sempre più determinate non dalle voci del database, ma dalla frequenza con cui il problema viene sfruttato negli attacchi reali.
Sicuramente questo campanello di allarme ci porta all’attenzione ancora una volta che sia come Europa sempre a ricasco degli Stati Uniti D’America anche per i bollettini di sicurezza e le vulnerabilità. Il nostro sistema di monitoraggio dell’Enisa, risulta in fase embrionale e occorrerebbe riflettere se non sia arrivato il momento di agire e di iniziare anche noi a numerare le vulnerabilità, classificarle e monitorarle, come sta già facendo la cina con il suo CCNVD.
E voi cosa ne pensate?
