超越 CVE:寻找漏洞情报的替代来源
近期关于通用漏洞披露(CVE,Common Vulnerabilities and Exposures)项目可能终止的短暂恐慌,凸显了安全行业对其的高度依赖,并引发了关于标准化漏洞识别与分类系统不可用时的应急策略讨论。
这场风波源于MITRE负责人致CVE董事会成员的信件,通知其运营合同将于4月16日到期。信中警告称,若服务中断将导致"包括国家漏洞数据库和公告在内的多重影响"。美国网络安全和基础设施安全局(CISA,Cybersecurity and Infrastructure Security Agency)次日宣布通过11个月合同延期继续资助CVE项目,暂时平息了广泛担忧。但关于CVE项目运营的长期稳定性,以及未来赞助或管理变更是否再次危及这一全球网络安全关键基础设施的忧虑依然存在。
CVE项目的波动性并非促使组织寻求其他漏洞信息来源的唯一因素。美国国家标准与技术研究院(NIST,National Institute of Standards and Technology)因资源限制,一年多来难以为CVE记录补充通用漏洞评分系统(CVSS,Common Vulnerability Scoring System)分数、通用弱点枚举(CWE,Common Weakness Enumeration)分类和通用平台枚举(CPE,Common Platform Enumeration)产品标识等关键信息,导致大量漏洞缺乏必要的关联信息和上下文,难以支持自动化安全任务的搜索、量化和利用。
Flashpoint联合创始人兼CEO Josh Lefkowitz表示,部分前瞻性组织已开始通过"去CVE化"来应对后CVE时代。他们采用不依赖CVE标识的流程和工具来识别关键威胁,判断可利用性,确定修复优先级,并分析攻击者的利用方式。Lefkowitz指出:"CVE系统已无法适应当今威胁环境的复杂性和变化速度。漏洞被发现和利用的间隔越来越短,影响范围扩大到整个供应链,往往在获得CVE编号前就已遭利用。"
最新数据显示发现与披露的差距正在扩大:谷歌威胁情报小组(GTIG,Googles Threat Intelligence Group)统计2024年攻击者利用的零日漏洞(zero-day)达75个,其中多数在补丁或CVE编号发布前就已遭利用。
构建多元化漏洞管理体系Lefkowitz强调,这些趋势要求企业必须降低对CVE的单一依赖,确保安全工具能处理带或不带CVE标识的漏洞。"组织在构建弹性安全体系时,整合替代性和互补性漏洞情报源至关重要。"
Legit Security现场首席技术官Joe Nicastro指出,CVE系统支撑着整个软件生态的漏洞检测与响应机制,包括政府机构使用的工具和平台。"失去这个通用语言,我们将陷入识别混乱、响应迟缓的困境,而软件攻击正变得前所未有的猖獗。"
目前,欧盟网络安全局(ENISA,European Union Agency for Cybersecurity)推出的欧洲漏洞数据库(EUVD,European Vulnerability Database)是最正式的CVE替代方案。EUVD旨在为欧盟境内使用的软硬件产品提供及时、权威的漏洞信息,聚合开源数据库、各国网络安全事件响应团队公告和厂商警报等多方数据,并按关键漏洞、已利用漏洞和欧盟协调漏洞三类展示。虽然EUVD被定位为CVE的补充而非替代品,但要达到CVE的全球影响力和生态支持,仍需更多厂商参与和工具集成。
现有替代方案与实施挑战Black Duck软件供应链风险负责人Tim Mackey表示:"要使EUVD等新数据库真正发挥作用,必须将其深度集成到扫描器、补丁管理系统和安全信息与事件管理(SIEM,Security Information and Event Management)平台等工具中。"可行的替代方案需要数据库提供商与工具厂商的深度协作,并获得监管机构和审计方的认可。
Flashpoint、VulnCheck、Tenable、BitSight等第三方漏洞情报提供商提供CVE往往遗漏或延迟收录的漏洞数据集,以及可利用性、勒索软件风险等关键上下文。Lefkowitz建议,组织应重构漏洞处理流程,确保安全工具能处理厂商特定标识,并基于威胁情报(如漏洞利用代码可用性、资产暴露程度)进行风险排序。
其他可选来源包括厂商安全公告、GitHub披露平台,以及HackerOne、Bugcrowd等漏洞赏金平台。Oracle、微软、红帽等软件厂商定期发布安全公告,GitHub维护着GitHub Advisory Database漏洞库,澳大利亚AusCERT、欧盟VulDB、日本JPCERT/CC和中国国家信息安全漏洞库(CNNVD)等区域数据库也值得关注。
CISA的已知已利用漏洞(KEV,Known Exploited Vulnerabilities)目录是美国联邦机构必须采用的漏洞数据源,任何组织都可借此确定补丁优先级。该目录列出了对政府和关键基础设施构成直接威胁的漏洞,联邦机构必须在规定时限内修复或停用受影响系统。
替代方案面临的系统性挑战Optiv网络运营高级总监Ben Radcliff警告称,CVE项目的核心价值在于为漏洞风险评估提供通用分类法和命名规范。若失去这一体系,研究人员将失去统一的漏洞分类语言,导致安全团队响应速度下降,特别是面对零日漏洞时。"建立CVE替代方案的最大障碍在于重建全球安全社区的共识。CVE经过长期发展建立了权威性,任何替代方案在可预见的未来都可能保持分散和不一致的状态。"
