CVE項(xiàng)目危機(jī)凸顯行業(yè)依賴

近期關(guān)于通用漏洞披露（CVE，Common Vulnerabilities and Exposures）項(xiàng)目可能終止的短暫恐慌，凸顯了安全行業(yè)對(duì)其的高度依賴，并引發(fā)了關(guān)于標(biāo)準(zhǔn)化漏洞識(shí)別與分類系統(tǒng)不可用時(shí)的應(yīng)急策略討論。

這場(chǎng)風(fēng)波源于MITRE負(fù)責(zé)人致CVE董事會(huì)成員的信件，通知其運(yùn)營(yíng)合同將于4月16日到期。信中警告稱，若服務(wù)中斷將導(dǎo)致"包括國(guó)家漏洞數(shù)據(jù)庫(kù)和公告在內(nèi)的多重影響"。美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA，Cybersecurity and Infrastructure Security Agency）次日宣布通過(guò)11個(gè)月合同延期繼續(xù)資助CVE項(xiàng)目，暫時(shí)平息了廣泛擔(dān)憂。但關(guān)于CVE項(xiàng)目運(yùn)營(yíng)的長(zhǎng)期穩(wěn)定性，以及未來(lái)贊助或管理變更是否再次危及這一全球網(wǎng)絡(luò)安全關(guān)鍵基礎(chǔ)設(shè)施的憂慮依然存在。

CVE系統(tǒng)的局限性日益顯現(xiàn)

CVE項(xiàng)目的波動(dòng)性并非促使組織尋求其他漏洞信息來(lái)源的唯一因素。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST，National Institute of Standards and Technology）因資源限制，一年多來(lái)難以為CVE記錄補(bǔ)充通用漏洞評(píng)分系統(tǒng)（CVSS，Common Vulnerability Scoring System）分?jǐn)?shù)、通用弱點(diǎn)枚舉（CWE，Common Weakness Enumeration）分類和通用平臺(tái)枚舉（CPE，Common Platform Enumeration）產(chǎn)品標(biāo)識(shí)等關(guān)鍵信息，導(dǎo)致大量漏洞缺乏必要的關(guān)聯(lián)信息和上下文，難以支持自動(dòng)化安全任務(wù)的搜索、量化和利用。

Flashpoint聯(lián)合創(chuàng)始人兼CEO Josh Lefkowitz表示，部分前瞻性組織已開(kāi)始通過(guò)"去CVE化"來(lái)應(yīng)對(duì)后CVE時(shí)代。他們采用不依賴CVE標(biāo)識(shí)的流程和工具來(lái)識(shí)別關(guān)鍵威脅，判斷可利用性，確定修復(fù)優(yōu)先級(jí)，并分析攻擊者的利用方式。Lefkowitz指出："CVE系統(tǒng)已無(wú)法適應(yīng)當(dāng)今威脅環(huán)境的復(fù)雜性和變化速度。漏洞被發(fā)現(xiàn)和利用的間隔越來(lái)越短，影響范圍擴(kuò)大到整個(gè)供應(yīng)鏈，往往在獲得CVE編號(hào)前就已遭利用。"

最新數(shù)據(jù)顯示發(fā)現(xiàn)與披露的差距正在擴(kuò)大：谷歌威脅情報(bào)小組（GTIG，Google's Threat Intelligence Group）統(tǒng)計(jì)2024年攻擊者利用的零日漏洞（zero-day）達(dá)75個(gè)，其中多數(shù)在補(bǔ)丁或CVE編號(hào)發(fā)布前就已遭利用。

構(gòu)建多元化漏洞管理體系

Lefkowitz強(qiáng)調(diào)，這些趨勢(shì)要求企業(yè)必須降低對(duì)CVE的單一依賴，確保安全工具能處理帶或不帶CVE標(biāo)識(shí)的漏洞。"組織在構(gòu)建彈性安全體系時(shí)，整合替代性和互補(bǔ)性漏洞情報(bào)源至關(guān)重要。"

Legit Security現(xiàn)場(chǎng)首席技術(shù)官Joe Nicastro指出，CVE系統(tǒng)支撐著整個(gè)軟件生態(tài)的漏洞檢測(cè)與響應(yīng)機(jī)制，包括政府機(jī)構(gòu)使用的工具和平臺(tái)。"失去這個(gè)通用語(yǔ)言，我們將陷入識(shí)別混亂、響應(yīng)遲緩的困境，而軟件攻擊正變得前所未有的猖獗。"

目前，歐盟網(wǎng)絡(luò)安全局（ENISA，European Union Agency for Cybersecurity）推出的歐洲漏洞數(shù)據(jù)庫(kù)（EUVD，European Vulnerability Database）是最正式的CVE替代方案。EUVD旨在為歐盟境內(nèi)使用的軟硬件產(chǎn)品提供及時(shí)、權(quán)威的漏洞信息，聚合開(kāi)源數(shù)據(jù)庫(kù)、各國(guó)網(wǎng)絡(luò)安全事件響應(yīng)團(tuán)隊(duì)公告和廠商警報(bào)等多方數(shù)據(jù)，并按關(guān)鍵漏洞、已利用漏洞和歐盟協(xié)調(diào)漏洞三類展示。雖然EUVD被定位為CVE的補(bǔ)充而非替代品，但要達(dá)到CVE的全球影響力和生態(tài)支持，仍需更多廠商參與和工具集成。

現(xiàn)有替代方案與實(shí)施挑戰(zhàn)

Black Duck軟件供應(yīng)鏈風(fēng)險(xiǎn)負(fù)責(zé)人Tim Mackey表示："要使EUVD等新數(shù)據(jù)庫(kù)真正發(fā)揮作用，必須將其深度集成到掃描器、補(bǔ)丁管理系統(tǒng)和安全信息與事件管理（SIEM，Security Information and Event Management）平臺(tái)等工具中。"可行的替代方案需要數(shù)據(jù)庫(kù)提供商與工具廠商的深度協(xié)作，并獲得監(jiān)管機(jī)構(gòu)和審計(jì)方的認(rèn)可。

Flashpoint、VulnCheck、Tenable、BitSight等第三方漏洞情報(bào)提供商提供CVE往往遺漏或延遲收錄的漏洞數(shù)據(jù)集，以及可利用性、勒索軟件風(fēng)險(xiǎn)等關(guān)鍵上下文。Lefkowitz建議，組織應(yīng)重構(gòu)漏洞處理流程，確保安全工具能處理廠商特定標(biāo)識(shí)，并基于威脅情報(bào)（如漏洞利用代碼可用性、資產(chǎn)暴露程度）進(jìn)行風(fēng)險(xiǎn)排序。

其他可選來(lái)源包括廠商安全公告、GitHub披露平臺(tái)，以及HackerOne、Bugcrowd等漏洞賞金平臺(tái)。Oracle、微軟、紅帽等軟件廠商定期發(fā)布安全公告，GitHub維護(hù)著GitHub Advisory Database漏洞庫(kù)，澳大利亞AusCERT、歐盟VulDB、日本JPCERT/CC和中國(guó)國(guó)家信息安全漏洞庫(kù)（CNNVD）等區(qū)域數(shù)據(jù)庫(kù)也值得關(guān)注。

CISA的已知已利用漏洞（KEV，Known Exploited Vulnerabilities）目錄是美國(guó)聯(lián)邦機(jī)構(gòu)必須采用的漏洞數(shù)據(jù)源，任何組織都可借此確定補(bǔ)丁優(yōu)先級(jí)。該目錄列出了對(duì)政府和關(guān)鍵基礎(chǔ)設(shè)施構(gòu)成直接威脅的漏洞，聯(lián)邦機(jī)構(gòu)必須在規(guī)定時(shí)限內(nèi)修復(fù)或停用受影響系統(tǒng)。

替代方案面臨的系統(tǒng)性挑戰(zhàn)

Optiv網(wǎng)絡(luò)運(yùn)營(yíng)高級(jí)總監(jiān)Ben Radcliff警告稱，CVE項(xiàng)目的核心價(jià)值在于為漏洞風(fēng)險(xiǎn)評(píng)估提供通用分類法和命名規(guī)范。若失去這一體系，研究人員將失去統(tǒng)一的漏洞分類語(yǔ)言，導(dǎo)致安全團(tuán)隊(duì)響應(yīng)速度下降，特別是面對(duì)零日漏洞時(shí)。"建立CVE替代方案的最大障礙在于重建全球安全社區(qū)的共識(shí)。CVE經(jīng)過(guò)長(zhǎng)期發(fā)展建立了權(quán)威性，任何替代方案在可預(yù)見(jiàn)的未來(lái)都可能保持分散和不一致的狀態(tài)。"