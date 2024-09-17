更新日期：2024 年 9 月 24 日
2 月份，美国国家标准与技术研究院（NIST）国家漏洞数据库（NVD）处理和扩充的漏洞数量开始放缓。VulnCheck 研究显示，截至 5 月，93.4% 的新发现漏洞以及 50.8% 的已知被利用漏洞仍尚待分析。
三个月后，问题依然存在。虽然 NIST 制定了重回正轨的计划，但目前对常见漏洞与风险 (CVE) 现状的分析跟不上新漏洞的检测步伐。以下内容将解析待办事项的原因、说明为何 CVE 可能不再是 IT 防御的“圣杯”，以及安全团队如何领先于攻击者的攻势。
预算削减是 CVE 分析问题的部分原因。正如《Security Magazine》所指出的那样，NIST 今年的经费减少了 12％，这使得该机构扩充 CVE 的难度加大。实际上，NVD 实际上是 CVE 数据的下游消费者 — 虽然发现和报告的 CVE 数量保持稳定，但 NIST 评估和扩充这些漏洞的能力却显着降低。
报告的漏洞数量也给分析工作带来了问题；Flashpoint 研究发现，NIST 在 2023 年报告了 33,137 个漏洞。在某种程度上，数量的增加与检测能力的提高有关。随着公司利用云技术和 AI 驱动工具扩大安全工作，他们能够更好地查明潜在威胁。因此，数字越大并不总是表明风险增加，但确实表明潜在攻击路径越来越多。
NIST 有计划来清理待办事项。根据 USASpending.gov 的数据，政府已授予Analygence一份价值 86 万美元的合同，旨在用于网络安全分析和电子邮件支持。分析工作定于 6 月 3 日开始，NIST 希望在 2024 年 9 月之前重回正轨。虽然合同预计于 2024 年 12 月结束，但该机构有权选择将服务延长至 2025 年 7 月。
对 NVD 待办事项的担忧可以理解。NIST 分析 CVE 并提出有效对策的时间越长，企业面临的风险就越大。
然而，正如 Cybersecurity Dive所指出的，网络安全格局正在发生变化。在 Gartner 安全与风险管理线上峰会期间，首席分析师 Mitchell Schneider 指出，虽然漏洞总数继续增加，但 CVE 严重数量并没有超过高、中、低漏洞。
此外，攻击者也不将 CVE 的严重性作为入侵标准。Schneider 表示：“在这些严重程度评级上，漏洞与威胁参与者是否利用它们之间没有固有的相关性。”相反，攻击者优先攻击最易被利用的漏洞，这些漏洞通常被评为中等或低严重程度。
实际上，这会造成“见木不见林”的情况：如果公司过于关注关键 CVE，就可能忽视中等风险的漏洞利用，而这些漏洞可能让攻击者先获得网络访问权限，再横向渗透到更关键的系统。
其成果如何？虽然通用漏洞数据库仍然是有效安全的关键部分，但它并非万能灵药。网络威胁的计策在不断变化，安全团队也必须做好因时制宜的准备。
那么，这种变化在实际中表现如何？
四点考虑因素可帮助公司在延迟添加 NVD 的情况下建立更好的防御系统。
随着攻击方法和模式的多样化，企业需要优先考虑 IT 可见性。不妨考虑这样一家企业：它将关键数据存储在本地部署的环境中，使用公有云进行测试与开发，并借助私有云来支撑那些需要灵活扩展的应用程序资源。
在新的威胁环境下，攻击可能随时来自任何来源。如果未被检测到，攻击者可以等待时机，收集数据并确定理想的攻击路径。因此，完全的可见性至关重要。公司对自身环境中发生的事情了解得越多，他们在检测、识别和缓解攻击方面的准备就越充分。
正如 Gartner 所明确指出的，可利用性现在是攻击者的首要任务。虽然更严重的漏洞在短期内可能是更有价值的目标，但可利用的中度或低度漏洞却能为攻击者带来持续的成功。
例如，假设恶意行为者可以利用业务网络边缘的中等严重性漏洞。在这种情况下，他们或许能够创建和维护后门，从而永久访问企业系统。他们可以从那里进行侦察并等待安全团队专注于其他漏洞。
通过针对最容易被利用而不是最严重的漏洞，安全团队可以降低攻击的成功几率。
安全不再是 IT 团队的独有负担。运营、财务、营销、销售和客户服务团队在确保公司安全方面都可以发挥作用。虽然安全最终责任仍由科技专业人士承担，但跨团队分担负担既能提高检测率，也能缩短识别到行动之间的时间。
NIST 希望在 2024 年 9 月之前消除 NVD 待办事项，但不能保证其努力一定会成功。据 The Record 报道，参议员 Mark Warner（D-VA）和 Thom Tillies（R-NC）已提议立法，旨在恢复对 NIST 的资助，并加强对新风险（如 AI 驱动的威胁）的关注，但该法案尚未完成，仍处于起步阶段。
换句话说，虽然该机构和联邦立法者认识到 CVE 分析和扩充的严重影响，但企业不能依赖 NVD 来提供最新的漏洞数据。
相反，企业最好改变他们的方法，以适应不断变化的攻击努力。通过实施有助于提升可见性和识别可利用性的工具，企业可以优先处理高风险威胁。通过跨部门分担安全负担并扩大可用安全资源的使用，企业能够更有效地应对不断变化的攻击优先级。
更正：本文已更新，以澄清 NVD 和 CVE 之间的区别。CVE 计划通过 CVE 记录将公开披露的漏洞编入目录，而 NVD 是 CVE 计划数据的下游消费者。
