+31 88 225 15 00
info@guardian360.tr
Netherlands
Lighthouse Giriş yapmak
ÜCRETSİZ DENEME
Guardian360

NIST odak noktasını seçiyor, ancak gerçek risk altında olanların kim olduğunu unutuyor.

Vicdan

NIST’in NVD’ye yönelik yeni yaklaşımı, CVE selini yönetmek için mantıklı bir adımdır. Ancak devlet yazılımlarına öncelik verilmesi, özel sektörün ihtiyaç duyduğu bilgiden mahrum kalmasına yol açabilir.

263%

CVE BAŞVURULARINDA ARTIŞ 2020–2025

 42.000

2025’TE ZENGİNLEŞTİRİLEN CVE’LER — HALA YETERSİZ

 1%

TÜM CVE’LERİN SADECE %1’İ GERÇEK ORTAMDA İSTİSMAR EDİLİYOR

Bu çok daha önce yapılmalıydı. Yıllar süren ve giderek büyüyen güvenlik açığı bildirimleri dalgasının ardından — 2020 ile 2025 arasında CVE başvurularında %263’lük bir artış yaşandı — National Institute of Standards and Technology nihayet kararlı bir adım attı. 15 Nisan 2026 itibarıyla NIST yalnızca belirli önceliklendirme kriterlerini karşılayan CVE’leri zenginleştirecek: CISA’nın Known Exploited Vulnerabilities (KEV) kataloğunda yer alan açıklar, ABD federal hükümeti içinde kullanılan yazılımlar ve Executive Order 14028 kapsamında kritik olarak belirlenen sistemler. Diğer tüm başvurular National Vulnerability Database (NVD) içinde yer almaya devam edecek, ancak “Not Scheduled” etiketiyle işaretlenecek. Bu, bürokratik dilde şu anlama gelir: fazla umutlanmayın.

Bir güvenlik uzmanı olarak mantığını anlıyorum. Sektörümüz uzun süredir benim “sinyal-gürültü aşırı yükü” dediğim durumdan muzdarip: analiz edilmesi gereken bir veri çığı ve bunun büyük çoğunluğu koruduğumuz sistemler için doğrudan bir anlam taşımıyor. VulnCheck araştırmasına göre geçen yıl yayımlanan 40.000’den fazla güvenlik açığının yalnızca %1’i — sadece 422 CVE — gerçek ortamda aktif olarak istismar edildi. Bu nedenle gerçekten önemli olana odaklanmak tamamen savunulabilir.

“Güvenlik açıkları yayımlanıyor, ancak önceliklendirilmiş değil. Bu da savunmacıların işini kolaylaştırmıyor.”

Yine de bir şeyler yanlış. Hem de oldukça temel düzeyde.

Bağlam olmadan şeffaflık paradoksu

NIST tüm CVE’leri yayımlamaya devam etmeyi seçti, ancak artık bunları CVSS puanları, etkilenen yazılım yapılandırmaları veya ek bağlamsal bilgilerle rutin olarak zenginleştirmeyecek. Sonuç, rahatsız edici bir ara durum: güvenlik açıkları açıklanıyor, ancak güvenlik ekiplerinin ne yapması gerektiğini anlaması için gerekli rehberlik sağlanmıyor. Bu, en boş haliyle şeffaflıktır.

Bir doktorun hastasına bir şeylerin yanlış olduğunu söyleyip bunun ne kadar ciddi olduğunu, hangi organın etkilendiğini ya da tedavi planının ne olduğunu açıklamayı reddettiğini düşünün. “Daha fazla bilgi almak isterseniz bize e-posta gönderebilirsiniz.” NVD’yi yama önceliklendirmesi için temel ve güvenilir kaynak olarak kullanan binlerce kuruluş için durum tam olarak böyle hissediliyor.

Özel bir güvenlik operasyon merkezi veya pahalı tehdit istihbaratı abonelikleri olmayan küçük ve orta ölçekli işletmeler en çok etkilenenler arasında. Onlar için NVD ücretsiz bir dayanak noktasıydı. Bu dayanak artık ortadan kalktı.

Önce devlet — peki ya diğerleri?

İkinci sorun, kamu kurumlarının dijital gerçekliği ile işletmeler ve bireyler arasındaki temel farkı ortaya koyuyor. NIST’in öncelikleri ulusal güvenlik açısından mantıklı: önce kritik devlet altyapısını korursunuz. Ancak bir sağlık kuruluşunun, üretim şirketinin veya küçük bir işletmenin yazılım ortamı, ABD federal hükümetinin BT yapısından oldukça farklıdır.

Microsoft 365, Google Workspace, yaygın kullanılan CRM platformları, üretimde kullanılan endüstriyel kontrol sistemleri — bunların çoğu Executive Order 14028 kapsamında “kritik yazılım” tanımına girmez. KOBİ’ler tarafından yaygın şekilde kullanılan bir bulut uygulamasındaki bir açık, “Not Scheduled” kategorisinde aylarca bekleyebilirken saldırganlar bunu aktif olarak istismar edebilir.

NopSec CTO’su Michelangelo Sidagni durumu net şekilde ifade ediyor: NIST aslında önceliklendirmeyi CISA’ya devrediyor, ancak CISA’nın KEV kataloğu bilinçli olarak muhafazakâr. Karşılaştırmalı analizler KEV’in şu anda 1.559 açık içerdiğini, VulnDB’nin ise bilinen istismarlarla birlikte 7.000’den fazlasını takip ettiğini gösteriyor. Bu da binlerce tehlikeli açığın hem KEV hem de yeni NVD zenginleştirme sürecinin dışında kaldığı anlamına geliyor. Bir saldırgan için bu ayrımın hiçbir önemi yok.

Tek bir doğru kaynağın sonu

Daha geniş bağlam endişeleri artırıyor. NVD’nin temelini oluşturan MITRE tarafından yürütülen CVE Programı, geçen yıl federal finansman sözleşmesinin sona erme noktasına gelmesiyle neredeyse çökmek üzereydi. CISA son anda devreye girdi, ancak bu altyapının ne kadar kırılgan olduğu açıkça ortaya çıktı. Bu arada Avrupa Birliği kendi European Vulnerability Database (EUVD) sistemini geliştiriyor, ancak bu henüz erken aşamada. Ayrıca yapay zekâ destekli güvenlik açığı keşfindeki patlayıcı büyüme — FIRST, 2026’da 50.000 yeni CVE rekoru öngörüyor — durumu daha da kötüleştirecek gibi görünüyor.

Güvenlik açıkları için tek bir güvenilir, kamuya açık bilgi kaynağı dönemi kesin olarak sona erdi. Bunu henüz fark etmemiş kuruluşlar şimdi bu gerçekle doğrudan yüzleşiyor.

Ne yapılmalı?

NIST’e yönelik eleştiriler haklı, ancak gerçekçi olmak gerekirse kurumun pek fazla seçeneği yoktu. Her çeyrekte yeni rekorlar kıran başvuru sayıları ve bunlara yetişemeyen analiz kapasitesi düşünüldüğünde, bir yön değişikliği kaçınılmazdı. Yön — gerçek risklere göre önceliklendirme — prensipte doğru.

Ancak uygulama iyileştirilmeli. Birincisi: önceliklendirme kriterleri fazla dar ve devlet odaklı. “Yüksek etki” tanımının, ticari yazılımlardaki yaygınlığı da kapsayacak şekilde genişletilmesi özel sektörün gerçekliğini daha iyi yansıtır. İkincisi: “zenginleştirme için bize e-posta gönderin” modeli ölçeklenebilir değil ve eşitsizlik yaratıyor. Büyük kuruluşlar nasıl ve nereden talepte bulunacaklarını biliyor, küçükler ise bilmiyor.

Üçüncüsü ve belki de en acil olanı: sektör, tek bir kamu veritabanına birincil savunma hattı olarak güvenmeyi bırakmalı. Kaynakları çeşitlendirmek — ticari tehdit istihbaratı, sektöre özel ISAC’ler, açık kaynak alternatifleri — bir lüks değil, zorunluluktur. Bunu zaten bilen güvenlik profesyonelleri bu geçişi yönetebilecek. Diğerleri ise yeni bir uyarı aldı.

İlgisiz veri seli her zaman asıl problemdi. NIST artık bunu resmen kabul etti. Soru şu: seçilen çözüm doğru kişileri mi koruyor, yoksa sadece doğru devlet sözleşmelerine sahip olanları mı?

KAYNAKLAR

  1. NIST — NVD Updates NVD Operations to Address Record CVE Growth (15 Nisan 2026)
  2. Help Net Security — NIST admits defeat on NVD backlog, will enrich only highest-risk CVEs going forward (16 Nisan 2026)
  3. CyberScoop — NIST narrows scope of CVE analysis to keep up with rising tide of vulnerabilities (17 Nisan 2026)
  4. Socket.dev — NIST Officially Stops Enriching Most CVEs as Vulnerability Volume Surges (Nisan 2026)
  5. Infosecurity Magazine — NIST Drops NVD Enrichment for Pre-March 2026 Vulnerabilities (Nisan 2026)
  6. SecureWorld — The NVD Course Correction: Navigating NIST’s Strategic Pivot for 2026 (Nisan 2026)
  7. Dark Reading — NIST Revamps CVE Framework to Focus on High-Impact Vulnerabilities (Nisan 2026)
  8. The Hacker News — NIST Limits CVE Enrichment After 263% Surge in Vulnerability Submissions (Nisan 2026)
Jan Martijn Broekhof
11 posts
Previous Post
Guardian360 Hacker Uyarıları: Gerçek Zamanlı Tehdit Algılama ve Saldırı Uyarıları
Next Post
Tüm Güvenlik Operasyon Merkezleri Eşit Değildir: Doğru Güvenlik Operasyon Merkezini Anlamak ve Seçmek

Bu girişi paylaş