CEVIU Logo
Voltar

Auditoria federal expõe má gestão e desperdício de recursos no NVD do NIST

Aprofundamento CEVIU

Aprofundamento

O NVD do NIST não está apenas atrasado: está operando com um modelo de enriquecimento obsoleto e custoso, onde analistas humanos repetem trabalho já feito, 80% do tempo gasto é em recalcular CVSS e mapear produtos, mesmo com 80% das submissões já trazendo pontuações válidas dos próprios fornecedores. O backlog explodiu de 13 mil para 27 mil CVEs entre 2024 e 2025, e o NIST respondeu com uma medida radical: em 15 de abril de 2026, reclassificou quase 29 mil entradas antigas como 'Não Programadas', tirando-as da fila de análise. Isso não é otimização, é triagem por exaustão.

A ineficiência tem preço real: US$ 200 mil em ações duplicadas com a CISA (Vulnrichment), US$ 800 mil economizados em dois anos só ao parar de recalculá-las e um índice de concordância de 12% nas pontuações, ou seja, o NVD está contradizendo especialistas independentes em 88% dos casos. A nova política de risco, anunciada em abril, é uma mudança estrutural: o NVD agora depende das pontuações das CNAs, prioriza apenas vulnerabilidades no KEV da CISA e passa a integrar dados SSVC da CISA-ADP a partir de 17 de junho. É menos uma atualização técnica e mais uma rendição operacional ao volume insustentável de dados.

O que mudou

Em maio de 2024, o NIST ainda mantinha o processo tradicional de enriquecimento manual completo, sem integração com a CISA. Hoje, após a auditoria do OIG, o NVD abandonou a pontuação própria como padrão, deixou de processar 29 mil CVEs antigos e passou a depender de fontes externas confiáveis, CNAs e CISA, para priorizar e classificar. O que era rumor sobre 'reestruturação' virou política oficial em abril de 2026, com prazos concretos: plano estratégico até 25 de julho, integração SSVC a partir de 17 de junho. Não é ajuste: é reinvenção forçada sob pressão.

Por que isso importa

Empresas brasileiras que usam ferramentas de gestão de vulnerabilidades baseadas no NVD, como scanners de código, plataformas de GRC ou sistemas de patch management, estão recebendo dados incompletos, desatualizados ou contraditórios. Se o NVD demora meses para enriquecer uma CVE crítica e depois descarta sua própria pontuação em favor da do fornecedor, o time de segurança corporativo perde confiança no critério de severidade usado internamente. Pior: a dependência crescente da CISA cria um viés geopolítico implícito na avaliação de risco, vulnerabilidades em softwares usados pelo governo dos EUA ganham prioridade, enquanto falhas em soluções adotadas por empresas brasileiras ficam na fila da 'não programação'. Isso afeta diretamente decisões de remediação, alocação de orçamento e conformidade com LGPD e Marco Civil.

Linha do tempo

  1. Lançamento do programa Vulnrichment pela CISA, gerando duplicação com o NVD

  2. Vencimento do contrato de suporte de enriquecimento do NVD, causando lacuna de pessoal até novembro de 2024

  3. NIST reclassifica 29 mil CVEs como 'Não Programados' e anuncia nova abordagem baseada em risco

  4. Publicação do relatório do inspetor-geral do Departamento de Comércio expondo falhas de gestão no NVD

Perguntas frequentes

O que muda na prática para quem usa o NVD em ferramentas de segurança?

As ferramentas que consomem dados do NVD vão receber menos informações enriquecidas automaticamente, especialmente pontuações CVSS próprias e mapeamentos detalhados de produtos. A partir de junho de 2026, elas precisarão integrar fontes alternativas, como as pontuações das CNAs ou os dados SSVC da CISA, para manter a precisão na priorização de correções.

Por que o NVD continuou recalculando pontuações se 80% já vinham prontas?

O processo era parte de um modelo de validação centralizada, mas nunca foi escalável. O relatório do OIG mostra que essa etapa não aumentava a confiabilidade, pelo contrário: as pontuações do NVD coincidiam com as de avaliadores independentes em apenas 12% dos casos. A duplicação era burocrática, não técnica.

O que é 'Não Programados' e por que isso afeta a segurança corporativa?

'Não Programados' significa que o NVD não vai enriquecer essas CVEs, sem pontuação própria, sem lista de produtos afetados, sem recomendações. Para empresas, isso significa que vulnerabilidades antigas, mesmo críticas, podem ficar invisíveis em relatórios automáticos, retardando correções e criando falsa sensação de segurança.

A nova abordagem baseada em risco resolve o problema ou só o mascara?

Resolve parcialmente: prioriza o que realmente importa para o governo dos EUA e para o catálogo KEV. Mas não resolve o gargalo estrutural, o NVD continua incapaz de acompanhar o volume de CVEs. A solução é seletiva, não sistêmica, e transfere o ônus da avaliação para os fornecedores e para a CISA, sem garantir transparência ou consistência global.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
02 de junho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser