漏洞管理变革:CISA启动CVE信息富化项目
美国网络安全与基础设施安全局(CISA)本周发布了一个名为“Vulnrichment”的漏洞信息富化项目,为常见漏洞和披露(CVE)记录添加重要信息,帮助组织改善漏洞管理流程。
Vulnrichment项目将为公共CVE记录添加常见平台枚举(CPE)、常见漏洞评分系统(CVSS)、常见弱点枚举(CWE)和已知可利用漏洞(KEV)数据。CISA表示,他们已经完成了1300个CVE记录的富化工作,尤其针对新近出现的漏洞,并呼吁所有CVE编号机构(CNA)在向CVE.org提交漏洞信息时提供完整的数据。
CISA表示,他们最初会采用利益相关者特定漏洞分类(SSVC)评分流程评估每个CVE记录。SSVC评分方法是由CISA与卡内基梅隆大学软件工程研究所合作开发,能够综合考虑漏洞的可利用状态、安全影响以及受影响产品的普及度等因素进行漏洞分析。
对于影响重大、可自动化利用、拥有概念验证漏洞利用代码或已被用于攻击的漏洞,CISA会在后续阶段进行进一步的分析。
CISA指出,Vulnrichment项目添加的信息可以帮助组织优先开展漏洞修复工作、理解漏洞趋势,并敦促厂商修复漏洞类别问题。Vulnrichment项目托管于GitHub平台,每个富化后的CVE条目均采用JSON格式提供,方便组织轻松将更新内容整合到漏洞管理流程中。
CISA是业界最早发布可利用漏洞的公共警告机构之一。其包含超过1100个已利用漏洞条目的KEV目录已成为漏洞管理的重要资源。
参考链接: