美國國家標準與技術研究院,全面改革漏洞數據庫運營…從“高風險CVE”開始加強

robot
摘要生成中

美國國家標準與技術研究院(NIST)對國家漏洞資料庫(NVD)的運營方式進行了重大調整。今後將不再對所有收到的通用漏洞披露(CVE)進行批量分析,而是轉向優先處理實際風險較高漏洞的"基於風險的篩選"體系。

此舉是由於激增的CVE提交量已難以用現有方式應對。據NIST稱,從2020年到2025年,CVE提交數量增長了263%,2026年第一季度的提交量也比去年同期增加了約三分之一。NIST解釋稱,儘管在2025年就強化了約4.2萬條CVE資訊,較上年增長45%,但仍不足以跟上增長速度。

今後從"最危險的漏洞"開始分析

根據新標準,NIST將僅優先對符合三項條件的CVE進行"完全強化"。包括:被列入美國網絡安全和基礎設施安全局(CISA)"已知被利用漏洞"清單的情況;影響美國聯邦政府使用軟體的情況;以及影響第14028號行政命令中"關鍵軟體"相關產品的情況。

特別是,對於登上CISA KEV清單的漏洞,目標是在提交後1個工作日內完成強化。而未包含在此清單中的CVE雖會繼續在NVD登記,但將被歸類為"未定日程"。這種情況下,安全團隊確定補丁優先級時參考的風險評分和產品資訊將不會自動添加。

清理自2024年以來積壓的工作

NIST還計劃一併清理自2024年初以來積壓的工作量。原則上,在2026年3月1日之前已在NVD公開但尚未強化的CVE將移至"未定日程"。不過,已列入KEV清單的漏洞不在此次清理範圍內。

部分流程也將簡化。如果CVE編號機構(CNA)已自行提供風險評分,NIST將不再另行計算相同分數。此外,對於已修改的CVE,也不再對每次更新都重新分析,而僅當變更對強化數據產生實質性影響時才重新審查。

AI被指為導致漏洞報告激增的背景原因

儘管NIST未直接指明人工智能(AI)是原因,但業界認為AI是推高CVE增長趨勢的關鍵因素之一。身份威脅偵測與回應公司SlashID的聯合創始人兼首席執行官文森佐·約喬表示:"AI發現的已驗證漏洞報告激增","有分析稱僅去年報告的漏洞數量就增長了一倍以上。"

他評價此次政策變更是"合理的調整,因為最重要的類別仍會持續處理"。並預測,隨著大語言模型(LLM)性能提升,各組織將能自行根據其環境判斷漏洞的優先級和背景,相應地,對外部'強化CVE'的依賴度也將逐漸降低。

"現在不能只等待CVE評分了"

RunSafe Security的首席技術官謝恩·弗萊指出,此次公告向業界發出了明確信號。他表示:"這意味著等待CVE評分出來後再因應的時代已經結束。"

弗萊強調,鑑於漏洞可見性本質上是不完整的,企業和機構不應僅依賴單一資料庫,而應結合利用多種漏洞資訊來源才能做出更準確的判斷。他補充說,還應在假設軟體中可能已存在尚未公開的未知漏洞的前提下,建立即使在補丁或官方評分發布前也能阻止被利用的防禦體系。

此次改革更接近於市場結構的變化,而非簡單的行政調整。在漏洞激增的環境下,對所有專案進行同等深度分析的方式已觸及極限,NIST最終轉向了以"優先級"為中心的方向。在安全實踐領域,未來相比僅僅等待NVD的評分,結合威脅情報與資產現狀進行更快速判斷的能力將顯得更為重要。

TP AI 注意事項 本文基於TokenPost.ai語言模型生成文章摘要。可能遺漏正文主要內容或與事實存在出入。

查看原文
此頁面可能包含第三方內容,僅供參考(非陳述或保證),不應被視為 Gate 認可其觀點表述,也不得被視為財務或專業建議。詳見聲明
  • 打賞
  • 回覆
  • 轉發
  • 分享
回覆
請輸入回覆內容
請輸入回覆內容
暫無回覆