Siber Güvenlik

Kritik: NIST, Açık Güvenlik Açıkları İçin CVE Zenginleştirmesini Sınırlıyor

teknomers
teknomers

Giriş

National Institute of Standards and Technology (NIST), siber güvenlik zaafiyetleri ve maruziyetleri (CVE’ler) ile ilgili önemli değişiklikler duyurdu. Bu değişiklikler, CVE başvurularındaki artış nedeniyle, NIST’in belirli koşulları karşılamayan zaafiyetleri zenginleştirmeyecek olmasını içeriyor.

Contents

Değişikliklerin Gerekçesi

NIST, 2020 ile 2025 yılları arasında CVE başvurularında %263’lük bir artış olduğunu belirtti. Bu doğrultuda, yalnızca belirli kriterleri karşılayan CVE’lerin zenginleştirileceğini duyurdu. 15 Nisan 2026’dan itibaren yürürlüğe giren önceliklendirme kriterleri şunlardır:

  • CISA’nın Bilinen İstismar Edilen Zafiyetler (KEV) kataloğunda yer alan CVE’ler.
  • Federal hükümet içerisinde kullanılan yazılımlar için CVE’ler.
  • Executive Order 14028 tarafından tanımlanan kritik yazılımlar için CVE’ler; bu, yükseltilmiş ayrıcalık ile çalışmak, ağ veya hesaplama kaynaklarına yetkili erişim sağlamak gibi özelliklere sahip yazılımları içerir.

Etki ve Değerlendirme

Bu değişiklikler hakkında NIST, kriterleri karşılamayan CVE’lerin “Zamanlanmamış” olarak işaretleneceğini ve bu tür zaafiyetlerin genellikle daha az sistemik risk taşıdığı ifade edildi. 2026’nın ilk üç ayında yapılan CVE başvuruları geçen yıla göre neredeyse %33 daha fazla oldu. NIST, bu süre zarfında zenginleştirilmiş 42,000’den fazla CVE’nin bulunduğunu ve bu sayının geçmiş yıllara göre %45 daha fazla olduğunu vurguladı.

Yüksek etki oluşturan ancak zamanlanmamış olan bir CVE için kullanıcılar, [email protected] adresine e-posta göndererek zenginleştirme talebinde bulunabilirler. NIST, bu talepleri inceleyecek ve uygun olanları zenginleştirme programına alacaktır.

Diğer Önemli Değişiklikler

NIST’in NVD işlemlerinde bazı başka değişiklikler de yapılmıştır:

  • NIST, CVE numarası ile birlikte verilen ayrı bir şiddet puanı sağlamayacaktır.
  • Değiştirilmiş bir CVE, yalnızca “zenginleştirme verilerini önemli ölçüde etkileyen” durumlarda yeniden analiz edilecektir.
  • 1 Mart 2026’dan önceki NVD yayın tarihi olan tüm zenginleştirilmemiş CVE’ler “Zamanlanmamış” kategorisine taşınacaktır.
  • NIST, CVE durum etiketleri ve açıklamalarını güncellemiştir.

Sonuç ve Aksiyon

Siber güvenlik uzmanları, bu yeni gelişmeler karşısında geleneksel CVE zenginleştirme yöntemlerinden uzaklaşarak daha proaktif bir yaklaşım benimsemek zorundadır. Kuruluşların, CVE’leri sadece bir kaynak üzerinden değerlendirmeleri yerine, CISA KEV listesini ve istismar edilebilirlik ölçütlerini dikkate almaları önerilmektedir. Bu bağlamda, güvenlik açıklarını zamanında tespit etmek ve yönetmek için sistemlerinizde güncellemeler yapmayı ihmal etmeyin ve gereksiz portları kapatma gibi önlemler alın.

NYT bağlantıları 26 Mart Çarşamba için ipucu ve cevaplar (Oyun #654)
Yakınlaştırma: Yeni Notlar özelliği, toplantılar için ezber bozan bir özelliktir ve yapay zeka destekli değildir
İşletmeler Sorumlu Yapay Zeka İçin Ne Alacağını Bilmiyor
Starlink ile Yeni Clash’ta Uydu Spektrumu Açık Artırmasında Güven Lobileri
Azure Service Fabric’te Linux Container-Escape Kusur
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Acil: Hacked DraftKings Hesapları Satışından 30 Ay Hapis Cezası
Sonraki Makale Ayakkabıcı Albird, AI veri merkezlerine yöneliyor, hisse değeri %580 arttı

Sanal Medya

Son Eklenenler

Saldırılar, İfşa ve Fidye: 2026’nın En Kötü Veri İhlalleri
Genel
Sanal İşletim Sistemi Müzesi ile 600’den Fazla OS Deneyimleyin
Liste
Acil! C0XMO Botnet, DD-WRT Açığını Kullanarak Rakip Kötü Amaçlı Yazılımları Yok Ediyor
Siber Güvenlik
Savaş Alanında Hayatta Kalan Kuşlar: Optik Lif Yuvaları
Donanım
Yeni Ark Yapım Aracı ile Mod Oluşturma Artık Herkesin Erişiminde
Oyun
Zamanı Değerlendirmek İçin İhtiyacınız Olan Eğlenceler
Liste