当美国网络安全和基础设施安全局 (CISA) 批准 MITRE 延长其 CVE 和 CWE 项目监管合同 11 个月的消息传出后,一些业内人士松了一口气。但经验丰富的网络安全专业人士却并非如释重负,而是担忧。因为虽然这次情况还算稳定,但距离系统崩溃仅一步之遥。奇安信CERT梳理当前安全态势,以帮助提供有关CVE发展情况的清晰度。
CVE(常见漏洞和披露) 充当特定软件缺陷的全球词典,旨在为信息安全漏洞或已经暴露出来的弱点给出一个公共的名称,使不同的漏洞库和安全工具之间能够实现信息共享和互操作。
CWE(常见弱点枚举)包含了一系列常见的软件安全弱点。它由 MITRE 公司维护,提供了一种统一的术语和分类系统,用于描述软件和硬件缺陷,帮助开发人员和安全专家识别和解决安全问题。
将 CVE 视为诊断,将 CWE 视为潜在病症。它们对于软件世界的免疫系统至关重要:开发人员依靠它们进行防御性编码,供应商使用它们来协调补丁,安全团队围绕它们构建整个风险模型。
如果没有它们,任何主要的安全工具、威胁源或漏洞扫描器都无法运行。
统一标准:CVE计划为行业提供了用于识别漏洞的通用标识符,从而使行业能够全面跟踪所有受影响的产品、补救措施、战术、技术和程序(TTPs)以及漏洞的风险度量。如果没有这一点,就有可能无法准确地映射活动利用和相关风险到该漏洞。
漏洞管理核心:CVE计划是漏洞管理的全球标准,自1999年启动以来,已经成为互联网安全的“基石”之一。它为多个行业提供了核心数据支持,广泛应用于漏洞管理、网络威胁情报、安全信息与事件管理(SIEM)、终端检测与响应(EDR)等多个领域。全球大型科技公司如微软、Google、苹果、英特尔、AMD等都依赖这一平台进行漏洞识别和修复。
情报共享基础:CVE计划使各种实体能够成为CVE命名机构(CNA),允许供应商、研究人员、开源开发者和其他人保留和分配CVE,同时提供有关漏洞的信息。目前有超过450家CNA参与了CVE计划,促进了全球范围内的漏洞情报共享。
①漏洞管理生态崩塌
CVE作为全球漏洞标识的标准化体系,其中断将导致漏洞信息碎片化,无法统一追踪新漏洞、评估严重性及制定修复策略。依赖CVE的安全工具(如SIEM、EDR)功能将受限,漏洞管理、合规检查及威胁情报共享的全球协调性将大幅下降。
CVE中断将直接影响电力、通信等关键领域的漏洞响应能力,攻击者可利用漏洞信息滞后发起针对性攻击。美国国家标准与技术研究院(NIST)的国家漏洞数据库(NVD)已积压超3万未处理漏洞,若CVE停止更新,NVD的根基将动摇。
全球厂商依赖CVE数据评估供应链风险,中断后需另寻情报源,导致漏洞修复延迟和供应链攻击风险上升。安全厂商可能面临漏洞识别困难、产品功能受限等问题。
各国CERT机构将失去免费漏洞情报渠道,跨境网络威胁的联合响应效率降低,可能引发区域性漏洞披露规则分歧。
截至2025年4月16日,美国网络安全和基础设施安全局(CISA)已将MITRE CVE计划的资金延长一年,以确保关键的CVE服务不会失效。但11个月后是否会继续延期尚无定论,CISA可能利用这段时间制定后续计划,包括关闭数据库或迁移至其他实体管理。
国内漏洞库:我国企业可以使用CNNVD(中国国家信息安全漏洞库)、CNVD(中国国家信息安全漏洞共享平台)、NVDB(工业和信息化部网络安全威胁和漏洞信息共享平台)三个国家漏洞库,针对国内企业合规需求,适配性更强,降低政策风险。
GCVE分配体系:卢森堡计算机应急响应中心(CIRCL)提出的全球通用漏洞枚举(GCVE)分配体系是一个去中心化的安全漏洞识别与编号系统,现有CVE编号机构(CNA)可申请成为GCVE编号机构(GNA),并获得自主制定漏洞识别政策的权限。
奇安信ALPHA威胁分析平台漏洞库:收录1999年以来全量36万余条漏洞信息,涵盖通用网络产品漏洞、工业控制漏洞、信创政务漏洞、车联网漏洞等多个领域。开源漏洞信息覆盖率达到100%,自研漏洞信息占比大于20%,核心信息完整率达到99%。拥有独立漏洞编号QVD,当CVE出现问题时可实现全面替代。
CISA 的延期只是暂缓执行,而不是解决方案。这次CVE和CWE幸存了下来,但系统仍然非常脆弱。
CVE计划的资金危机暴露了全球网络安全基础设施对单一政府资助的脆弱性。尽管短期措施缓解了中断风险,但长期需通过社区化、技术升级及国际合作构建更稳健的漏洞管理体系。我们可借机强化CNVD和CNNVD的国际化协作,提升在全球漏洞生态中的话语权。
同时,奇安信CERT也将继续打造自身QVD漏洞情报体系,为用户第一时间提供实时更新的、全面的漏洞情报。
原文始发于微信公众号(奇安信 CERT):CVE计划停摆:全球漏洞治理体系面临协同危机
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3976111.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论