由于外部威胁不断出现，成为潜在的破坏源，多个政府机构已协调编制一份已知被利用漏洞 (KEV) 目录。已知被利用漏洞（KEV)目录是一个已经被利用漏洞的数据库，包括那些已被勒索软件活动利用的漏洞，它可以帮助公共和私营部门的应用程序安全专业人员监控威胁并确定修复的优先级。

KEV 目录简史

KEV 目录由美国国土安全部下属机构网络安全和基础设施安全局 (CISA) 和美国商务部下属机构国家标准与技术研究所 (NIST) 创建并维护。

2021 年，CISA 发布了“具有约束力的运营指令 (BOD) 22-01 – 降低已知被利用漏洞的重大风险”，要求所有联邦民事行政部门 (FCEB) 机构遵守法规，确保政府系统和信息免受网络威胁。这些法规包括定期监控 KEV 目录，并在特定时间范围内修复目录中包含的所有已知被利用漏洞。

虽然法律没有要求私营部门组织遵守 CISA 的指导方针，但强烈建议所有拥有在线应用程序和网站的组织定期监控目录，以更好地保护自己和客户。

漏洞是如何添加到 KEV 目录中的？

KEV 目录仅包含通过评估过程的漏洞。当披露新漏洞时，通常会为其分配一个通用漏洞和暴露 (CVE) ID 并进行分析以确定潜在影响和利用状态。然后，CISA 会向安全专家、联邦机构和私营部门寻求反馈，以深入了解漏洞。

为了被列入目录，漏洞必须满足以下标准：

• 已经被利用的证据
• 已分配的 CVE ID
• 已有补救方法，通常来自供应商

如果漏洞符合这些条件，则会将其添加到 KEV 目录中，并附上详细信息。漏洞添加到目录后，信息会定期更新，以包含修复指南。需要强调的是，只有找到解决方法后，才会将漏洞添加到目录中。

所有的漏洞都是同样产生的吗？

尽管政府还维护着一个拥有超过 160,000 个 CVE 的国家漏洞数据库 (NVD)，但大多数潜在漏洞都没有已知的漏洞利用方法。CISA 的研究表明，只有不到 4% 的 CVE 被利用。然而，一旦 CVE 被利用，威胁行为者就会迅速行动，这就是为什么定期监控 CVE 及其漏洞利用状态非常重要。

虽然网络安全领域中的许多人可能都知道某个漏洞，但通常只有在发现公开漏洞利用程序后才需要采取行动。学术界经常发布有关漏洞利用程序可能执行方式的论文，但只有当漏洞利用程序在现实世界中发布后，它才会造成危害。KEV 目录仅包含已知漏洞被利用过的漏洞，有助于从活跃威胁中筛选出理论威胁。

KEV 目录中是否包含所有被利用的漏洞？

不，并非所有已知漏洞都会通过 CVE 流程报告，即使它们被报告，因此不会包含在 KEV 目录中。一些已知和未知的漏洞也可能正在被积极利用，但尚未有人发现。我们有时认为是漏洞的其他东西，如恶意软件包，无法通过 CVE 流程报告，因此它们也不会出现在 KEV 中。

优先考虑已知漏洞

KEV目录可以使确定首先应对哪些漏洞变得更加容易。尽管一个CVE可能有一个严重的危害评分，但如果它没有已知的利用方式，那么与列在KEV数据库中、意味着存在活跃利用方式的中等威胁评分CVE相比，它的威胁要小。拥有活跃利用方式的CVE应该始终优先于只有理论上可能被利用的CVE。

虽然KEV目录并非应用安全领域唯一至关重要的工具，但对于从事应用安全工作的人来说，它是一个重要工具。除了其他漏洞指标（包括Exploit Prediction Scoring System (EPSS)和Common Vulnerability Scoring System (CVSS)）之外，还可以使用像KEV目录这样的漏洞信息数据帮助任何组织加强他们的应用程序安全。

KEV目录官网

https://www.cisa.gov/known-exploited-vulnerabilities-catalog