tin tức bảo mật mới nhất từ NVD cho thấy NIST đã thay đổi cách xử lý lỗ hổng CVE trong National Vulnerability Database, chuyển từ phân tích toàn diện sang mô hình ưu tiên theo mức độ rủi ro. Cập nhật này nhằm giảm tồn đọng CVE và tập trung nguồn lực vào các CVE nghiêm trọng có tác động hệ thống lớn.
NIST thay đổi quy trình xử lý lỗ hổng CVE trong NVD
Trong thông báo ngày 15/04/2026, NIST cho biết NVD sẽ không còn cố gắng bổ sung enrichment cho mọi CVE ngay khi nhận được. Thay vào đó, chương trình NVD áp dụng mô hình dựa trên rủi ro, ưu tiên các lỗ hổng CVE có khả năng ảnh hưởng rộng đến tổ chức.
NIST viện dẫn sự gia tăng mạnh về số lượng hồ sơ CVE là nguyên nhân chính. Cơ quan này ghi nhận mức tăng 263% số lượng CVE từ năm 2020 đến 2025. Riêng trong quý I/2026, tốc độ nộp CVE tăng thêm 33% so với cùng kỳ năm trước.
Trong năm trước, NIST đã bổ sung dữ liệu làm giàu cho gần 42.000 CVE, bao gồm điểm nghiêm trọng và danh sách sản phẩm bị ảnh hưởng. Tuy nhiên, mức tăng năng suất 45% vẫn không đủ để theo kịp tốc độ nộp mới.
Ưu tiên xử lý theo lỗ hổng CVE có rủi ro cao
Để kiểm soát khối lượng công việc, NVD sẽ tập trung tài nguyên cho các nhóm lỗ hổng CVE sau:
- Các CVE liên quan đến remote code execution.
- Các CVE ảnh hưởng đến hệ thống bị tấn công ở mức diện rộng.
- Các CVE có tác động lớn đến bảo mật hạ tầng hoặc chuỗi hệ thống phụ thuộc.
Bất kỳ CVE nào không thuộc các tiêu chí trên vẫn sẽ được công bố lên NVD, nhưng sẽ nhận nhãn “Lowest Priority”. Các mục này không được làm giàu ngay, dù nhà nghiên cứu hoặc đội ngũ vận hành có thể yêu cầu phân tích thủ công bằng cách liên hệ trực tiếp với NIST.
Loại bỏ trùng lặp trong scoring
Trong quy trình mới, nếu một CVE Numbering Authority đã cung cấp điểm nghiêm trọng ngay từ lúc nộp, NVD sẽ không tự tạo thêm một điểm riêng theo mặc định. Thay đổi này giúp giảm trùng lặp xử lý trong hệ thống cảnh báo CVE.
Đối với các CVE đã bị sửa đổi, NIST chỉ đánh giá lại những lỗ hổng đã được enrichment trước đó nếu thay đổi mới tác động đáng kể đến dữ liệu cốt lõi. Các CVE tồn đọng, chưa được làm giàu và được công bố trước ngày 01/03/2026 sẽ được chuyển sang trạng thái “Not Scheduled”.
Cách NVD xử lý tồn đọng lỗ hổng CVE
Khối lượng tồn đọng bắt đầu hình thành từ đầu năm 2024 và trở thành một phần của cảnh báo CVE về áp lực vận hành. Theo mô hình mới, NIST sẽ xử lý dần các mục cũ dựa trên tiêu chí rủi ro và nguồn lực sẵn có.
Điều này đồng nghĩa với việc không phải mọi lỗ hổng CVE đều có enrichment tức thì trong NVD. Với các đội phát hiện xâm nhập và quản trị an ninh mạng, trạng thái metadata của CVE cần được kiểm tra kỹ trước khi dùng làm đầu vào cho quy trình ưu tiên vá lỗi.
NIST cũng đã cập nhật NVD Dashboard để hiển thị trạng thái và thống kê theo thời gian thực, giúp theo dõi chính xác hơn tình trạng xử lý của từng CVE. Thông tin chính thức có thể tham chiếu tại: NIST updates NVD operations to address record CVE growth.
Tác động kỹ thuật đối với quy trình bảo mật
Thay đổi này không làm mất đi bản ghi CVE, nhưng ảnh hưởng trực tiếp đến tốc độ xuất hiện dữ liệu bổ sung như severity score, affected products và enrichment metadata. Với các hệ thống tự động hóa khai thác lỗ hổng CVE để tạo ticket, đánh giá ưu tiên hoặc feed vào SIEM/IDS, độ trễ dữ liệu có thể làm chậm phát hiện tấn công và update vá lỗi.
Trong thực tế, đội vận hành nên kiểm tra đồng thời nhiều nguồn dữ liệu thay vì phụ thuộc hoàn toàn vào NVD. Đặc biệt với các CVE nghiêm trọng, thông tin từ CNA, advisory của hãng và dữ liệu từ NVD có thể không đồng bộ tại thời điểm công bố.
Mô hình mới của NIST cho thấy NVD đang chuyển trọng tâm từ xử lý số lượng sang ưu tiên lỗ hổng CVE theo mức độ rủi ro. Điều này giúp giảm tải vận hành, nhưng cũng đòi hỏi quy trình theo dõi và đối chiếu dữ liệu chặt chẽ hơn từ phía tổ chức sử dụng NVD.
Điểm cần lưu ý khi sử dụng dữ liệu NVD
- Kiểm tra trạng thái Lowest Priority trước khi suy luận mức độ nghiêm trọng.
- Đối chiếu severity score từ nhiều nguồn nếu CVE chưa được NVD enrichment.
- Theo dõi các thay đổi của lỗ hổng CVE đã được sửa đổi để tránh bỏ sót tác động mới.
- Không giả định dữ liệu NVD đã đầy đủ ngay tại thời điểm CVE được công bố.
Từ khóa SEO và bối cảnh vận hành NVD
Trong bối cảnh cảnh báo CVE tăng mạnh, mô hình ưu tiên của NIST là một thay đổi đáng chú ý đối với các quy trình an toàn thông tin. Các tổ chức đang dựa vào NVD để đánh giá rủi ro bảo mật cần điều chỉnh pipeline phân loại lỗ hổng, đặc biệt khi dữ liệu làm giàu chưa sẵn sàng ngay lập tức.
Với các đội nghiên cứu threat intelligence, việc theo dõi trạng thái của lỗ hổng CVE trong NVD, đối chiếu severity score và xác định mức độ ưu tiên vá lỗi sẽ là bước cần thiết để giảm độ trễ trong phản ứng với mối đe dọa mạng.
