2025-04-16 - MITRE 也被砍预算了,如果没了 CVE,只看 CNVD 是不足够的
最新消息:美国政府为非营利研究巨头 MITRE 运营和维护其常见漏洞和暴露 (CVE) 计划提供的资金将于2025年4月16日到期![1]
就是今天!
笔者:国际注册信息系统审计师、软考系统分析师、软件工程硕士
题图照旧是笔者自行拍摄。
CVE 是非常有价值的漏洞信息源和漏洞管理工具,其重要性对于网络安全相关人员来说不言而喻。
对于不太了解 CVE 的读者,简单说就是 CVE 是公共性质的漏洞识别、定义、编目和公开的事实标准工具[2]。自1999年启动以来,CVE 面向全球收录漏洞信息,已经维持运作了25年,属于互联网安全基石之一。
据称,被砍预算之后,MITRE 将会减少甚至暂停 CVE 的后续发布。虽然负责进行 CVE 编号的 VulnCheck 说会做好一定的应对措施比如保留 CVE 空白编号之类,但这和实际的 CVE 发布完全是两回事。
所以,可以肯定的是,除非预算恢复,否则新漏洞的发布速度会大幅度降低甚至停止,所有依赖于 CVE 实现漏洞管理的安全工具都会出问题。
从攻击侧看,这事情就等于是为攻击者创造了广泛的空窗期。
还有就是,CVE 的下游衍生项目 Common Weakness Enumeration(CWE) [3] 也会因此受到影响。
CWE 这个项目可能关注的人相对较少,但这个项目的重要性在于产生漏洞的实质影响、修复漏洞的工作优先级等风险评估关键参数,如果 CWE 一同停摆,不少网络安全风险评估模型就要重新确定。
最后就说到国内 CNVD 国家信息安全漏洞共享平台[4]。CNVD 主要面向国内网络环境,而且 CVND 定义的大部分漏洞和 CVE 并不重合,两者在信息源上是互补关系,所以没法简单地用 CNVD 直接取代 CVE 的真空期。
最新发表
2025-03-25 重视篡改和勒索事件情报分析才能有效应对网络威胁在网络安全防守中,关键在于通过有效资源投入使攻击方认为投入大于收益,从而放弃攻击,这要求防守方必须深入了解攻防态势,做好情报分析,真正做到“知己知彼,百战不殆”。
2025-03-05 从最近国内多起疑似数据勒索事件对照等保标准要求研读美国执法机构发布的勒索软件防范网络安全公告从最近国内多起疑似数据勒索事件对照等保标准要求研读美国执法机构发布的勒索软件防范网络安全公告
2025-02-01 CVE-2024-3661,又可以考验发行版补丁及时性了又有新高危漏洞可以测试操作系统发行版的补丁及时性了。这就是 NetworkManager 高危CVE安全漏洞,CVE-2024-3661,CVSSv3评分7.6。
2024-11-28 运维和网安必备:Sysinternals Process Monitor 4.01 更新(还有 Linux 版)Sysinternals Suite,Windows 系统管理员必备工具。
