Siber Güvenlik

Kritik: NIST, Açık Güvenlik Açıkları İçin CVE Zenginleştirmesini Sınırlıyor

teknomers
teknomers

Giriş

National Institute of Standards and Technology (NIST), siber güvenlik zaafiyetleri ve maruziyetleri (CVE’ler) ile ilgili önemli değişiklikler duyurdu. Bu değişiklikler, CVE başvurularındaki artış nedeniyle, NIST’in belirli koşulları karşılamayan zaafiyetleri zenginleştirmeyecek olmasını içeriyor.

Contents

Değişikliklerin Gerekçesi

NIST, 2020 ile 2025 yılları arasında CVE başvurularında %263’lük bir artış olduğunu belirtti. Bu doğrultuda, yalnızca belirli kriterleri karşılayan CVE’lerin zenginleştirileceğini duyurdu. 15 Nisan 2026’dan itibaren yürürlüğe giren önceliklendirme kriterleri şunlardır:

  • CISA’nın Bilinen İstismar Edilen Zafiyetler (KEV) kataloğunda yer alan CVE’ler.
  • Federal hükümet içerisinde kullanılan yazılımlar için CVE’ler.
  • Executive Order 14028 tarafından tanımlanan kritik yazılımlar için CVE’ler; bu, yükseltilmiş ayrıcalık ile çalışmak, ağ veya hesaplama kaynaklarına yetkili erişim sağlamak gibi özelliklere sahip yazılımları içerir.

Etki ve Değerlendirme

Bu değişiklikler hakkında NIST, kriterleri karşılamayan CVE’lerin “Zamanlanmamış” olarak işaretleneceğini ve bu tür zaafiyetlerin genellikle daha az sistemik risk taşıdığı ifade edildi. 2026’nın ilk üç ayında yapılan CVE başvuruları geçen yıla göre neredeyse %33 daha fazla oldu. NIST, bu süre zarfında zenginleştirilmiş 42,000’den fazla CVE’nin bulunduğunu ve bu sayının geçmiş yıllara göre %45 daha fazla olduğunu vurguladı.

Yüksek etki oluşturan ancak zamanlanmamış olan bir CVE için kullanıcılar, [email protected] adresine e-posta göndererek zenginleştirme talebinde bulunabilirler. NIST, bu talepleri inceleyecek ve uygun olanları zenginleştirme programına alacaktır.

Diğer Önemli Değişiklikler

NIST’in NVD işlemlerinde bazı başka değişiklikler de yapılmıştır:

  • NIST, CVE numarası ile birlikte verilen ayrı bir şiddet puanı sağlamayacaktır.
  • Değiştirilmiş bir CVE, yalnızca “zenginleştirme verilerini önemli ölçüde etkileyen” durumlarda yeniden analiz edilecektir.
  • 1 Mart 2026’dan önceki NVD yayın tarihi olan tüm zenginleştirilmemiş CVE’ler “Zamanlanmamış” kategorisine taşınacaktır.
  • NIST, CVE durum etiketleri ve açıklamalarını güncellemiştir.

Sonuç ve Aksiyon

Siber güvenlik uzmanları, bu yeni gelişmeler karşısında geleneksel CVE zenginleştirme yöntemlerinden uzaklaşarak daha proaktif bir yaklaşım benimsemek zorundadır. Kuruluşların, CVE’leri sadece bir kaynak üzerinden değerlendirmeleri yerine, CISA KEV listesini ve istismar edilebilirlik ölçütlerini dikkate almaları önerilmektedir. Bu bağlamda, güvenlik açıklarını zamanında tespit etmek ve yönetmek için sistemlerinizde güncellemeler yapmayı ihmal etmeyin ve gereksiz portları kapatma gibi önlemler alın.

Web Semineri: Üstün Bir İçerik Pazarlama Stratejisi Geliştirmek İçin Beş İpucu
‘Asla Son Kullanma Tarihi Olmayan’ Parolalar Neden Riskli Bir Karar Olabilir?
Acil: Wing FTP Server Açığı Saldırılarda Kullanılıyor!
Apple, AI Bildirim Özetlerinde Anahtar Değişiklikler ile iPhone için iOS 18.3 Güncellemesini Yayınladı: Yenilikler
El Al Uçuş Mürettebatı Uçuş Ortasında İletişim Kesintisi Yaşıyor
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Acil: Hacked DraftKings Hesapları Satışından 30 Ay Hapis Cezası
Sonraki Makale Ayakkabıcı Albird, AI veri merkezlerine yöneliyor, hisse değeri %580 arttı

Sanal Medya

Son Eklenenler

Kritik: Ele Geçirilen npm ve Go Paketleri ile Python İfşası Nasıl Yapılır?
Siber Güvenlik
PHP/Laravel Uygulamanızın Sürekliliğini Nasıl İzlersiniz (ve Çöktüğünde Nasıl Bildirim Alırsınız)
Yazılım
Z.ai, Mythos ile Siber Güvenlikte Yarışıyor
Liste
Temmuz’da Yürürlüğe Girecek Gürültülü Yayın Reklamlarına Yasa Getirildi
Genel
Suno, Bağımsız Sanatçıları AI Makinesine Besleyecek Spark Kuluçka Programını Başlattı
Liste
Monkey Soccer için heyecan verici güncellemeler geliyor!
Oyun