CVE項目危機凸顯行業(yè)依賴

近期關于通用漏洞披露（CVE，Common Vulnerabilities and Exposures）項目可能終止的短暫恐慌，凸顯了安全行業(yè)對其的高度依賴，并引發(fā)了關于標準化漏洞識別與分類系統(tǒng)不可用時的應急策略討論。

這場風波源于MITRE負責人致CVE董事會成員的信件，通知其運營合同將于4月16日到期。信中警告稱，若服務中斷將導致"包括國家漏洞數(shù)據(jù)庫和公告在內(nèi)的多重影響"。美國網(wǎng)絡安全和基礎設施安全局（CISA，Cybersecurity and Infrastructure Security Agency）次日宣布通過11個月合同延期繼續(xù)資助CVE項目，暫時平息了廣泛擔憂。但關于CVE項目運營的長期穩(wěn)定性，以及未來贊助或管理變更是否再次危及這一全球網(wǎng)絡安全關鍵基礎設施的憂慮依然存在。

CVE系統(tǒng)的局限性日益顯現(xiàn)

CVE項目的波動性并非促使組織尋求其他漏洞信息來源的唯一因素。美國國家標準與技術研究院（NIST，National Institute of Standards and Technology）因資源限制，一年多來難以為CVE記錄補充通用漏洞評分系統(tǒng)（CVSS，Common Vulnerability Scoring System）分數(shù)、通用弱點枚舉（CWE，Common Weakness Enumeration）分類和通用平臺枚舉（CPE，Common Platform Enumeration）產(chǎn)品標識等關鍵信息，導致大量漏洞缺乏必要的關聯(lián)信息和上下文，難以支持自動化安全任務的搜索、量化和利用。

Flashpoint聯(lián)合創(chuàng)始人兼CEO Josh Lefkowitz表示，部分前瞻性組織已開始通過"去CVE化"來應對后CVE時代。他們采用不依賴CVE標識的流程和工具來識別關鍵威脅，判斷可利用性，確定修復優(yōu)先級，并分析攻擊者的利用方式。Lefkowitz指出："CVE系統(tǒng)已無法適應當今威脅環(huán)境的復雜性和變化速度。漏洞被發(fā)現(xiàn)和利用的間隔越來越短，影響范圍擴大到整個供應鏈，往往在獲得CVE編號前就已遭利用。"

最新數(shù)據(jù)顯示發(fā)現(xiàn)與披露的差距正在擴大：谷歌威脅情報小組（GTIG，Google's Threat Intelligence Group）統(tǒng)計2024年攻擊者利用的零日漏洞（zero-day）達75個，其中多數(shù)在補丁或CVE編號發(fā)布前就已遭利用。

構建多元化漏洞管理體系

Lefkowitz強調(diào)，這些趨勢要求企業(yè)必須降低對CVE的單一依賴，確保安全工具能處理帶或不帶CVE標識的漏洞。"組織在構建彈性安全體系時，整合替代性和互補性漏洞情報源至關重要。"

Legit Security現(xiàn)場首席技術官Joe Nicastro指出，CVE系統(tǒng)支撐著整個軟件生態(tài)的漏洞檢測與響應機制，包括政府機構使用的工具和平臺。"失去這個通用語言，我們將陷入識別混亂、響應遲緩的困境，而軟件攻擊正變得前所未有的猖獗。"

目前，歐盟網(wǎng)絡安全局（ENISA，European Union Agency for Cybersecurity）推出的歐洲漏洞數(shù)據(jù)庫（EUVD，European Vulnerability Database）是最正式的CVE替代方案。EUVD旨在為歐盟境內(nèi)使用的軟硬件產(chǎn)品提供及時、權威的漏洞信息，聚合開源數(shù)據(jù)庫、各國網(wǎng)絡安全事件響應團隊公告和廠商警報等多方數(shù)據(jù)，并按關鍵漏洞、已利用漏洞和歐盟協(xié)調(diào)漏洞三類展示。雖然EUVD被定位為CVE的補充而非替代品，但要達到CVE的全球影響力和生態(tài)支持，仍需更多廠商參與和工具集成。

現(xiàn)有替代方案與實施挑戰(zhàn)

Black Duck軟件供應鏈風險負責人Tim Mackey表示："要使EUVD等新數(shù)據(jù)庫真正發(fā)揮作用，必須將其深度集成到掃描器、補丁管理系統(tǒng)和安全信息與事件管理（SIEM，Security Information and Event Management）平臺等工具中。"可行的替代方案需要數(shù)據(jù)庫提供商與工具廠商的深度協(xié)作，并獲得監(jiān)管機構和審計方的認可。

Flashpoint、VulnCheck、Tenable、BitSight等第三方漏洞情報提供商提供CVE往往遺漏或延遲收錄的漏洞數(shù)據(jù)集，以及可利用性、勒索軟件風險等關鍵上下文。Lefkowitz建議，組織應重構漏洞處理流程，確保安全工具能處理廠商特定標識，并基于威脅情報（如漏洞利用代碼可用性、資產(chǎn)暴露程度）進行風險排序。

其他可選來源包括廠商安全公告、GitHub披露平臺，以及HackerOne、Bugcrowd等漏洞賞金平臺。Oracle、微軟、紅帽等軟件廠商定期發(fā)布安全公告，GitHub維護著GitHub Advisory Database漏洞庫，澳大利亞AusCERT、歐盟VulDB、日本JPCERT/CC和中國國家信息安全漏洞庫（CNNVD）等區(qū)域數(shù)據(jù)庫也值得關注。

CISA的已知已利用漏洞（KEV，Known Exploited Vulnerabilities）目錄是美國聯(lián)邦機構必須采用的漏洞數(shù)據(jù)源，任何組織都可借此確定補丁優(yōu)先級。該目錄列出了對政府和關鍵基礎設施構成直接威脅的漏洞，聯(lián)邦機構必須在規(guī)定時限內(nèi)修復或停用受影響系統(tǒng)。

替代方案面臨的系統(tǒng)性挑戰(zhàn)

Optiv網(wǎng)絡運營高級總監(jiān)Ben Radcliff警告稱，CVE項目的核心價值在于為漏洞風險評估提供通用分類法和命名規(guī)范。若失去這一體系，研究人員將失去統(tǒng)一的漏洞分類語言，導致安全團隊響應速度下降，特別是面對零日漏洞時。"建立CVE替代方案的最大障礙在于重建全球安全社區(qū)的共識。CVE經(jīng)過長期發(fā)展建立了權威性，任何替代方案在可預見的未來都可能保持分散和不一致的狀態(tài)。"