如何管理 CVE 不断上升的趋势

随着漏洞的数量和复杂性的增加，组织正在努力管理和缓解安全缺陷。

MOVEit文件传输服务、Log4Shell 和 Citrix Bleed 中的软件缺陷是近年来被利用的最引人注目的漏洞之一，但它们只占造成广泛损害的 CVE 总数的一小部分。

CVE的数量每年都在稳步增长，SecurityScorecard 在 2023 年记录了 29,000 个漏洞，今年已经跟踪了近 27,500 个漏洞。根据 Coalition 的 2024 年网络威胁指数报告，预计到 2024 年，这一数字将达到 34,888，增长 25%。这强调了组织在持续管理漏洞和加强对潜在漏洞的防御方面所面临的挑战。

根据SANS 2022年漏洞管理调查，虽然四分之三的组织采用正式的计划来管理漏洞，但有许多组织正在努力解决无法修复的积压问题，并且越来越多的问题需要通过供应商或开源社区来修复。网络安全研究人员表示，CVE 的数量之多使得跟踪所有潜在漏洞变得困难。尤其当许多漏洞被认为很严重时，企业需要考虑在当前组织环境中被利用的可能性，并对优先修复的漏洞进行评级。

CVE 标识符帮助漏洞排名

CVE编号是一种常用的标识符，安全团队可以根据一系列数据源对漏洞进行排名，并使用漏洞检测工具或入侵检测系统来查找漏洞。

CVE已成为许多其他安全标准的基础，包括国际标准化组织、支付卡行业和医疗保健信息信任联盟安全框架。CVE用于合规性、风险管理和网络安全协议，提供了一种标准化方法，用于识别和引用特定漏洞，并为世界各地的安全团队使用提供通用标识符。

安全研究人员指出，随着漏洞的增加，解决所有风险是不可行的。排名意味着每个CVE都有一个风险权重，这对于确定修补和漏洞管理的优先级至关重要，尤其是在 CVE 的范围不断扩大的情况下。引入的每一行新代码都可能为更多 CVE 提供新的机会。

采用安全检测工具解决 CVE 问题

虽然CVE的总体数量在增加，但鉴于单个 CVE 编号通常可以引用不止一段代码，因此还有更多内容。当CVE嵌入在非常普遍的代码中时，一个CVE可能会影响多个不同版本的软件或软件包。并非每个 CVE 都带有修复程序，甚至带有概念验证，表明它是一个可以在野外利用的真实问题。如果有必要，发布修复程序或声明漏洞，以便安全团队和扫描工具及时发现并修复。

在消除CVE时，安全扫描工具很重要，当前多数情况下组织会选择在软件开发生命周期中即进行安全检测，通常结合使用静态测试、动态测试、渗透测试等方法。随着对开源库的依赖增加，目前开源组件分析也逐渐成为重要的方式。

 

参读链接：

https://www.cybersecuritydive.com/news/cyber-security-vulnerability-management-CVE/726710/