全球网络安全人员一直依赖的NVD和CVE目前正在经历重大变革。
美国政府暂停漏洞信息更新、削减预算等混乱局面,与我们日本企业不无关系。
在本文中,我们将对漏洞数据库的现状、崩溃的风险以及日本企业应该采取的替代措施和应对措施进行简单易懂的解释。
内容
什么是 NVD 和 CVE?为什么它成为世界标准
国家漏洞数据库(NVD)和通用漏洞与暴露(CVE)是网络安全领域使用最广泛的漏洞信息库。
CVE 为漏洞提供了唯一的标识号(例如 CVE-2025-1234),并负责组织世界各地软件和系统中的弱点。另一方面,NVD是一个数据库,根据其CVE提供漏洞的详细技术信息和风险评估(CVSS评分)。
这两个系统协同工作,被软件开发人员、安全人员和政府机构广泛使用。
例如,在Windows、Apache、IoT设备等中发现的漏洞首先注册为CVE,然后NVD分析严重性、影响范围和预期攻击方法等详细信息。
NVD 和 CVE 是可免费访问的公共资源,这些资源不断更新,并支持世界各地网络防御系统的基础。
运营商的混乱和停止资助导致了什么结果?
然而,2024年2月,NVD突然停止发布新的漏洞数据。虽然给出的模糊原因是美国政府机构之间协调的变化,但实际情况是预算和人力资源才是根本原因。
同年,运营公司NIST(美国国家标准与技术研究院)预算削减约12%,CISA(美国网络安全局)停止向NVD提供每年370万美元的支持。
而且,CVE计划本身也有可能因2025年合同到期而无法续约,一时间,“漏洞管理终结”已经成为现实。
尽管CISA启动了名为“Vulnrichment”的新分析补充计划作为应急响应,但NVD积压(未处理的漏洞信息)迅速增加。一度有超过 25,000 个请求积压,导致严重延误,比 2017 年大约增加了 10 倍。
在安全行业,随着这种情况“扩大信息真空”,人们的危机感与日俱增,世界各地的专家已经开始寻找替代方法。
漏洞信息崩溃带来的真实风险
企业和基础设施面临的盲点和安全延迟
如果漏洞信息披露不及时,企业和基础设施提供商将面临严重的安全风险。越来越不可能获得决定是否应用安全补丁所需的详细信息,并且操作会在不修复已知漏洞的情况下继续进行。
过去曾出现过医疗机构因NVD分析延迟而导致对策延迟数周而导致系统故障的案例。在物联网设备、工业控制系统等更新困难的环境中影响更为严重。信息差距为网络攻击者提供了完美的切入点。
特别成问题的是“利基漏洞”,它们不会引起普遍关注,但可能对某些环境产生致命影响。由于分析资源有限,此类事情往往会被搁置一旁,从而增加了它们被忽视的风险。
随着对商业工具的依赖增加,信息差距扩大
NVD 故障导致许多组织更多地依赖商业漏洞管理工具。 Qualys、Rapid7 和 Tenable 等付费服务利用专有威胁情报来帮助更快地分析和可视化漏洞。
另一方面,这些工具并不便宜,而且负担很重,特别是对于中小企业、初创企业和地方政府而言。在NVD等免费资源无法发挥作用的情况下,信息差距就等于安全差距,能够保护自己的公司与无法保护自己的公司之间的差距将会扩大。
印度一家中型云公司的安全工程师警告说:“如果 NVD 停止,市场将陷入混乱。不能依赖商业数据库的企业将容易受到攻击。”这是一个现实,不仅限于海外国家,也适用于日本的许多中小型IT企业。
对日本企业的影响及今后的对策
为什么日本企业也依赖NVD/CVE?
日本的许多公司基本上依赖 NVD 和 CVE 系统。例如,IPA(信息技术促进局)和JPCERT/CC(计算机应急响应中心)提供的漏洞信息就是基于CVE数据构建的。
换句话说,现实情况是,即使是日语中高度可靠的安全信息也从根本上依赖于来自美国的数据库。
此外,日本公司推出的许多安全工具和漏洞扫描器都是基于CVE编号进行管理的。
例如Nessus、OpenVAS等漏洞诊断工具,以及EDR(端点检测和响应)产品,也会参考NVD中注册的漏洞的CVSS评分和威胁分析。
此外,日本提供的许多SaaS和应用程序依赖于国外框架和OSS(开源软件),NVD/CVE信息对于漏洞管理至关重要。
因此,对于日本企业来说,NVD功能的下降并不是对方的问题,而是与日常安全运营直接相关的问题。
替代方案和国内应对措施有多先进?
针对这种情况,各国都在竞相制定替代措施。欧盟(EU)将于2025年推出自己的漏洞数据库,中国也在国家控制下运营多个数据库。
在日本,目前还没有独立的国家级漏洞数据库,主流由JPCERT/CC和IPA翻译分发。
另一方面,Google提供的开源“OSV(Open Source Vulnerability)”、VulnCheck的“NVD++”等高可靠的私有开放数据库也受到关注。此外,新成立的CVE基金会旨在采用非营利性、国际化的运营模式构建下一代数据库。
此外,对于日本公司来说,引入软件物料清单(SBOM)并明确其系统中包含哪些OSS和第三方产品也很重要。
即使在漏洞信息分散、多样化的时代,SBOM也使得快速判断风险成为可能。
漏洞管理的未来和世界面临的挑战
AI与非营利数据库开启的新模式
NVD和CVE的失败促使业界探索新的漏洞管理模式。其中之一是人工智能技术的使用。例如,正在进行使用 OpenAI 模型和 NVD 自己的基于 AI 的 CPE(产品识别代码)生成来检测零日漏洞的实验。
然而,也有人对人工智能在该领域的局限性持谨慎态度。信息的准确性对于漏洞分析至关重要,不正确的分类或误识别会增加遭受攻击的风险。与单独使用人工智能不同,与人工审核的混合操作被视为一种现实的解决方案。
还有一项对管理体系本身进行审查的运动。 2025年,CVE基金会将以非营利性国际运营模式启动。与互联网地址管理 (ICANN) 一样,我们的目标是实现可持续治理,摆脱对政府的依赖。
这些跨国非营利计划有潜力塑造下一代网络安全基础设施。
谁应该为“安全负责”?
另一个重要问题是谁应该对软件漏洞负责的问题。
现在,许多供应商在其 EULA(最终用户许可协议)中避免对产品缺陷承担责任。复杂的使用条款和免责声明有效地保护了制造商。
然而,近年来,有迹象表明这种结构正在发生变化。 2024 年,CrowdStrike 更新中的一个错误导致世界各地的 Windows 设备崩溃,导致航空公司、医院和公共基础设施全部关闭。
针对这一事件,一系列要求损害赔偿的诉讼相继提起,法律责任再次受到质疑。
未来,人们认为 SBOM 将成为强制性的,并且“设计安全”的引入将会加速。从产品设计阶段就降低漏洞风险,创建不会给用户带来负担的结构,将成为一种社会责任。
网络安全不再只是专家的专利。既然漏洞信息基础设施摇摇欲坠,我们每个人都应该意识到应该信任哪些信息源以及如何准备。
关于我