漏洞管理的困境

漏洞管理的被動(dòng)性疊加政策流程的延遲，使安全團(tuán)隊(duì)不堪重負(fù)。根據(jù)我們漏洞運(yùn)營(yíng)中心（VOC）的數(shù)據(jù)分析，在68,500個(gè)客戶資產(chǎn)中發(fā)現(xiàn)了1,337,797個(gè)獨(dú)立安全事件，其中32,585個(gè)為不同CVE（通用漏洞披露）編號(hào)，10,014個(gè)CVSS（通用漏洞評(píng)分系統(tǒng)）評(píng)分≥8分。外部資產(chǎn)存在11,605個(gè)獨(dú)特CVE，內(nèi)部資產(chǎn)則高達(dá)31,966個(gè)。面對(duì)如此龐大的漏洞數(shù)量，部分漏洞未能及時(shí)修補(bǔ)導(dǎo)致系統(tǒng)淪陷已不足為奇。

本文將探討漏洞報(bào)告現(xiàn)狀、基于威脅和利用可能性的優(yōu)先級(jí)排序方法，分析統(tǒng)計(jì)概率并簡(jiǎn)要討論風(fēng)險(xiǎn)應(yīng)對(duì)。最后我們將提出降低漏洞影響的解決方案，同時(shí)為管理團(tuán)隊(duì)提供危機(jī)響應(yīng)的靈活策略。

CVE體系的局限性

西方國(guó)家普遍采用由MITRE和NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院）主導(dǎo)的CVE和CVSS體系。截至2025年4月，運(yùn)行25年的CVE項(xiàng)目已發(fā)布約29萬(wàn)條記錄（含"已拒絕"和"延期"條目）。NIST國(guó)家漏洞數(shù)據(jù)庫(kù)（NVD）依賴CVE編號(hào)機(jī)構(gòu)（CNA）進(jìn)行初始評(píng)估，這種機(jī)制雖提升效率但也引入偏差。研究者與廠商對(duì)漏洞嚴(yán)重性的分歧常導(dǎo)致關(guān)鍵漏洞披露延遲。

2024年3月的行政延誤造成NVD積壓24,000條未處理的CVE記錄。2025年4月，美國(guó)國(guó)土安全部終止與MITRE的合同更引發(fā)行業(yè)對(duì)CVE體系未來(lái)的擔(dān)憂，所幸在業(yè)界強(qiáng)烈反響下最終延續(xù)了資金支持。

中國(guó)自2009年運(yùn)營(yíng)的CNNVD漏洞庫(kù)[5]雖具技術(shù)價(jià)值[6,7]，但受政治因素影響難以國(guó)際合作。值得注意的是，并非所有漏洞都會(huì)立即披露（形成盲區(qū)），而未被發(fā)現(xiàn)的零日漏洞更持續(xù)被利用。2023年谷歌威脅分析組（TAG）和Mandiant共發(fā)現(xiàn)97個(gè)零日漏洞，主要影響移動(dòng)設(shè)備、操作系統(tǒng)和瀏覽器。相比之下，CVE詞典中僅約6%的漏洞曾被利用，2022年研究顯示半數(shù)企業(yè)每月僅修復(fù)15.5%或更少的漏洞。

威脅情報(bào)驅(qū)動(dòng)的決策

盡管存在缺陷，CVE系統(tǒng)仍提供有價(jià)值的漏洞情報(bào)。為應(yīng)對(duì)海量漏洞，需優(yōu)先處理最可能被利用的威脅。事件響應(yīng)與安全團(tuán)隊(duì)論壇（FIRST）開(kāi)發(fā)的EPSS（漏洞利用預(yù)測(cè)評(píng)分系統(tǒng)）能預(yù)測(cè)漏洞在野利用概率。安全團(tuán)隊(duì)可據(jù)此選擇廣泛修補(bǔ)策略或重點(diǎn)防御關(guān)鍵漏洞，兩者各有利弊。

為驗(yàn)證覆蓋范圍與效率的平衡，我們分析某公共部門客戶的397個(gè)漏洞掃描數(shù)據(jù)。如圖所示，當(dāng)考慮前264個(gè)漏洞時(shí)，利用概率的縮放計(jì)算已接近100%，而此時(shí)最高單個(gè)漏洞EPSS評(píng)分仍低于11%。這說(shuō)明在系統(tǒng)規(guī)模擴(kuò)大時(shí)，僅依賴EPSS進(jìn)行優(yōu)先級(jí)排序?qū)⒚媾R巨大挑戰(zhàn)。

攻擊者的成功概率

通過(guò)概率模型分析可得出三個(gè)關(guān)鍵結(jié)論：

• 攻擊者成功率隨目標(biāo)系統(tǒng)數(shù)量呈指數(shù)增長(zhǎng)：針對(duì)100個(gè)系統(tǒng)時(shí)，中等技能攻擊者的成功概率已接近100%
• 企業(yè)內(nèi)網(wǎng)通常存在數(shù)千臺(tái)設(shè)備，單點(diǎn)突破即可橫向移動(dòng)
• 專業(yè)滲透測(cè)試人員對(duì)互聯(lián)網(wǎng)目標(biāo)的平均成功率約為30%

重構(gòu)漏洞管理范式

當(dāng)前以CVE為核心的漏洞管理模式已難以應(yīng)對(duì)挑戰(zhàn)，建議轉(zhuǎn)向"威脅緩解"與"風(fēng)險(xiǎn)降低"雙軌制：

威脅緩解措施：

• 重點(diǎn)防護(hù)互聯(lián)網(wǎng)暴露面系統(tǒng)
• 動(dòng)態(tài)響應(yīng)流程整合補(bǔ)丁、配置調(diào)整、補(bǔ)償控制等手段
• 將EPSS作為威脅情報(bào)的輔助工具

風(fēng)險(xiǎn)降低策略：

• 收縮攻擊面：清理未管理的互聯(lián)網(wǎng)暴露資產(chǎn)
• 限制影響范圍：通過(guò)網(wǎng)絡(luò)分段、零信任架構(gòu)控制橫向移動(dòng)
• 提升基線安全：系統(tǒng)化減少漏洞數(shù)量與嚴(yán)重性，優(yōu)先投資回報(bào)率高的改進(jìn)

2030安全戰(zhàn)略框架

未來(lái)安全建設(shè)應(yīng)關(guān)注：

• 源頭治理：將安全融入系統(tǒng)設(shè)計(jì)與供應(yīng)鏈管理
• 威脅建模：通過(guò)攻防演練驗(yàn)證防御有效性
• 架構(gòu)革新：實(shí)施SASE和零信任戰(zhàn)略
• 默認(rèn)安全：建立強(qiáng)制性的安全基線標(biāo)準(zhǔn)

（注：本文核心觀點(diǎn)來(lái)自O(shè)range Cyberdefense高級(jí)安全研究員Wicus Ross）