CVE項(xiàng)目危機(jī)凸顯行業(yè)依賴

近期關(guān)于通用漏洞披露（CVE，Common Vulnerabilities and Exposures）項(xiàng)目可能終止的短暫恐慌，凸顯了安全行業(yè)對其的高度依賴，并引發(fā)了關(guān)于標(biāo)準(zhǔn)化漏洞識別與分類系統(tǒng)不可用時的應(yīng)急策略討論。

這場風(fēng)波源于MITRE負(fù)責(zé)人致CVE董事會成員的信件，通知其運(yùn)營合同將于4月16日到期。信中警告稱，若服務(wù)中斷將導(dǎo)致"包括國家漏洞數(shù)據(jù)庫和公告在內(nèi)的多重影響"。美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA，Cybersecurity and Infrastructure Security Agency）次日宣布通過11個月合同延期繼續(xù)資助CVE項(xiàng)目，暫時平息了廣泛擔(dān)憂。但關(guān)于CVE項(xiàng)目運(yùn)營的長期穩(wěn)定性，以及未來贊助或管理變更是否再次危及這一全球網(wǎng)絡(luò)安全關(guān)鍵基礎(chǔ)設(shè)施的憂慮依然存在。

CVE系統(tǒng)的局限性日益顯現(xiàn)

CVE項(xiàng)目的波動性并非促使組織尋求其他漏洞信息來源的唯一因素。美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST，National Institute of Standards and Technology）因資源限制，一年多來難以為CVE記錄補(bǔ)充通用漏洞評分系統(tǒng)（CVSS，Common Vulnerability Scoring System）分?jǐn)?shù)、通用弱點(diǎn)枚舉（CWE，Common Weakness Enumeration）分類和通用平臺枚舉（CPE，Common Platform Enumeration）產(chǎn)品標(biāo)識等關(guān)鍵信息，導(dǎo)致大量漏洞缺乏必要的關(guān)聯(lián)信息和上下文，難以支持自動化安全任務(wù)的搜索、量化和利用。

Flashpoint聯(lián)合創(chuàng)始人兼CEO Josh Lefkowitz表示，部分前瞻性組織已開始通過"去CVE化"來應(yīng)對后CVE時代。他們采用不依賴CVE標(biāo)識的流程和工具來識別關(guān)鍵威脅，判斷可利用性，確定修復(fù)優(yōu)先級，并分析攻擊者的利用方式。Lefkowitz指出："CVE系統(tǒng)已無法適應(yīng)當(dāng)今威脅環(huán)境的復(fù)雜性和變化速度。漏洞被發(fā)現(xiàn)和利用的間隔越來越短，影響范圍擴(kuò)大到整個供應(yīng)鏈，往往在獲得CVE編號前就已遭利用。"

最新數(shù)據(jù)顯示發(fā)現(xiàn)與披露的差距正在擴(kuò)大：谷歌威脅情報小組（GTIG，Google's Threat Intelligence Group）統(tǒng)計2024年攻擊者利用的零日漏洞（zero-day）達(dá)75個，其中多數(shù)在補(bǔ)丁或CVE編號發(fā)布前就已遭利用。

構(gòu)建多元化漏洞管理體系

Lefkowitz強(qiáng)調(diào)，這些趨勢要求企業(yè)必須降低對CVE的單一依賴，確保安全工具能處理帶或不帶CVE標(biāo)識的漏洞。"組織在構(gòu)建彈性安全體系時，整合替代性和互補(bǔ)性漏洞情報源至關(guān)重要。"

Legit Security現(xiàn)場首席技術(shù)官Joe Nicastro指出，CVE系統(tǒng)支撐著整個軟件生態(tài)的漏洞檢測與響應(yīng)機(jī)制，包括政府機(jī)構(gòu)使用的工具和平臺。"失去這個通用語言，我們將陷入識別混亂、響應(yīng)遲緩的困境，而軟件攻擊正變得前所未有的猖獗。"

目前，歐盟網(wǎng)絡(luò)安全局（ENISA，European Union Agency for Cybersecurity）推出的歐洲漏洞數(shù)據(jù)庫（EUVD，European Vulnerability Database）是最正式的CVE替代方案。EUVD旨在為歐盟境內(nèi)使用的軟硬件產(chǎn)品提供及時、權(quán)威的漏洞信息，聚合開源數(shù)據(jù)庫、各國網(wǎng)絡(luò)安全事件響應(yīng)團(tuán)隊(duì)公告和廠商警報等多方數(shù)據(jù)，并按關(guān)鍵漏洞、已利用漏洞和歐盟協(xié)調(diào)漏洞三類展示。雖然EUVD被定位為CVE的補(bǔ)充而非替代品，但要達(dá)到CVE的全球影響力和生態(tài)支持，仍需更多廠商參與和工具集成。

現(xiàn)有替代方案與實(shí)施挑戰(zhàn)

Black Duck軟件供應(yīng)鏈風(fēng)險負(fù)責(zé)人Tim Mackey表示："要使EUVD等新數(shù)據(jù)庫真正發(fā)揮作用，必須將其深度集成到掃描器、補(bǔ)丁管理系統(tǒng)和安全信息與事件管理（SIEM，Security Information and Event Management）平臺等工具中。"可行的替代方案需要數(shù)據(jù)庫提供商與工具廠商的深度協(xié)作，并獲得監(jiān)管機(jī)構(gòu)和審計方的認(rèn)可。

Flashpoint、VulnCheck、Tenable、BitSight等第三方漏洞情報提供商提供CVE往往遺漏或延遲收錄的漏洞數(shù)據(jù)集，以及可利用性、勒索軟件風(fēng)險等關(guān)鍵上下文。Lefkowitz建議，組織應(yīng)重構(gòu)漏洞處理流程，確保安全工具能處理廠商特定標(biāo)識，并基于威脅情報（如漏洞利用代碼可用性、資產(chǎn)暴露程度）進(jìn)行風(fēng)險排序。

其他可選來源包括廠商安全公告、GitHub披露平臺，以及HackerOne、Bugcrowd等漏洞賞金平臺。Oracle、微軟、紅帽等軟件廠商定期發(fā)布安全公告，GitHub維護(hù)著GitHub Advisory Database漏洞庫，澳大利亞AusCERT、歐盟VulDB、日本JPCERT/CC和中國國家信息安全漏洞庫（CNNVD）等區(qū)域數(shù)據(jù)庫也值得關(guān)注。

CISA的已知已利用漏洞（KEV，Known Exploited Vulnerabilities）目錄是美國聯(lián)邦機(jī)構(gòu)必須采用的漏洞數(shù)據(jù)源，任何組織都可借此確定補(bǔ)丁優(yōu)先級。該目錄列出了對政府和關(guān)鍵基礎(chǔ)設(shè)施構(gòu)成直接威脅的漏洞，聯(lián)邦機(jī)構(gòu)必須在規(guī)定時限內(nèi)修復(fù)或停用受影響系統(tǒng)。

替代方案面臨的系統(tǒng)性挑戰(zhàn)

Optiv網(wǎng)絡(luò)運(yùn)營高級總監(jiān)Ben Radcliff警告稱，CVE項(xiàng)目的核心價值在于為漏洞風(fēng)險評估提供通用分類法和命名規(guī)范。若失去這一體系，研究人員將失去統(tǒng)一的漏洞分類語言，導(dǎo)致安全團(tuán)隊(duì)響應(yīng)速度下降，特別是面對零日漏洞時。"建立CVE替代方案的最大障礙在于重建全球安全社區(qū)的共識。CVE經(jīng)過長期發(fā)展建立了權(quán)威性，任何替代方案在可預(yù)見的未來都可能保持分散和不一致的狀態(tài)。"