Siber Güvenlik

Kritik: NIST, Açık Güvenlik Açıkları İçin CVE Zenginleştirmesini Sınırlıyor

teknomers
teknomers

Giriş

National Institute of Standards and Technology (NIST), siber güvenlik zaafiyetleri ve maruziyetleri (CVE’ler) ile ilgili önemli değişiklikler duyurdu. Bu değişiklikler, CVE başvurularındaki artış nedeniyle, NIST’in belirli koşulları karşılamayan zaafiyetleri zenginleştirmeyecek olmasını içeriyor.

Contents

Değişikliklerin Gerekçesi

NIST, 2020 ile 2025 yılları arasında CVE başvurularında %263’lük bir artış olduğunu belirtti. Bu doğrultuda, yalnızca belirli kriterleri karşılayan CVE’lerin zenginleştirileceğini duyurdu. 15 Nisan 2026’dan itibaren yürürlüğe giren önceliklendirme kriterleri şunlardır:

  • CISA’nın Bilinen İstismar Edilen Zafiyetler (KEV) kataloğunda yer alan CVE’ler.
  • Federal hükümet içerisinde kullanılan yazılımlar için CVE’ler.
  • Executive Order 14028 tarafından tanımlanan kritik yazılımlar için CVE’ler; bu, yükseltilmiş ayrıcalık ile çalışmak, ağ veya hesaplama kaynaklarına yetkili erişim sağlamak gibi özelliklere sahip yazılımları içerir.

Etki ve Değerlendirme

Bu değişiklikler hakkında NIST, kriterleri karşılamayan CVE’lerin “Zamanlanmamış” olarak işaretleneceğini ve bu tür zaafiyetlerin genellikle daha az sistemik risk taşıdığı ifade edildi. 2026’nın ilk üç ayında yapılan CVE başvuruları geçen yıla göre neredeyse %33 daha fazla oldu. NIST, bu süre zarfında zenginleştirilmiş 42,000’den fazla CVE’nin bulunduğunu ve bu sayının geçmiş yıllara göre %45 daha fazla olduğunu vurguladı.

Yüksek etki oluşturan ancak zamanlanmamış olan bir CVE için kullanıcılar, [email protected] adresine e-posta göndererek zenginleştirme talebinde bulunabilirler. NIST, bu talepleri inceleyecek ve uygun olanları zenginleştirme programına alacaktır.

Diğer Önemli Değişiklikler

NIST’in NVD işlemlerinde bazı başka değişiklikler de yapılmıştır:

  • NIST, CVE numarası ile birlikte verilen ayrı bir şiddet puanı sağlamayacaktır.
  • Değiştirilmiş bir CVE, yalnızca “zenginleştirme verilerini önemli ölçüde etkileyen” durumlarda yeniden analiz edilecektir.
  • 1 Mart 2026’dan önceki NVD yayın tarihi olan tüm zenginleştirilmemiş CVE’ler “Zamanlanmamış” kategorisine taşınacaktır.
  • NIST, CVE durum etiketleri ve açıklamalarını güncellemiştir.

Sonuç ve Aksiyon

Siber güvenlik uzmanları, bu yeni gelişmeler karşısında geleneksel CVE zenginleştirme yöntemlerinden uzaklaşarak daha proaktif bir yaklaşım benimsemek zorundadır. Kuruluşların, CVE’leri sadece bir kaynak üzerinden değerlendirmeleri yerine, CISA KEV listesini ve istismar edilebilirlik ölçütlerini dikkate almaları önerilmektedir. Bu bağlamda, güvenlik açıklarını zamanında tespit etmek ve yönetmek için sistemlerinizde güncellemeler yapmayı ihmal etmeyin ve gereksiz portları kapatma gibi önlemler alın.

Düşman Simülasyonu için Başlatılan Yeni Açık Kaynak Araçları
AMD Ryzen 8000G “Phoenix 2” Masaüstü APU’ları dGPU için PCIe 4.0 x4 ve M.2 SSD’ler için PCIe 4.0 x2 ile Sınırlıdır
Microsoft PowerToys, çoklu monitör kurulumları için mükemmel aracı ekledi
FBI Yatırımcıları Merkezi Olmayan Finansal Platformlarla Önlem Almaları İçin Uyardı
Bilgisayar Korsanları Fortinet’in Kusurunu İstismara Uğradı, Yeni Kampanyada ScreenConnect’i Dağıttı ve Metasploit’i Kullandı
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Acil: Hacked DraftKings Hesapları Satışından 30 Ay Hapis Cezası
Sonraki Makale Ayakkabıcı Albird, AI veri merkezlerine yöneliyor, hisse değeri %580 arttı

Sanal Medya

Son Eklenenler

Teknolojide Yeni Dönem: My Gym Kodları ile Tanışın
Oyun
Lauf eElja Elektrikli Dağ Bisikleti İncelemesi: Gücü Hisset!
Genel
İIntel iGPU’suz mobil işlemcileri Core 200H serisine ekledi
Donanım
Yaz Oyun Festivali 2026’da Göz Kamaştıran Trailera Şahit Olun
Oyun
Apple’ın WWDC 2026 Anahtarı: İzleme Yöntemleri ve Beklentiler
Genel
Tanrıların İntikamı: God of War Laufey’de Sürpriz Karakterler Bekleniyor
Oyun