行業新聞與部落格

美國國家標準與技術研究院 (NIST) 確認，2018 年 1 月 1 日之前釋出的所有常見漏洞和暴露 (CVE) 將  在國家漏洞資料庫 (NVD) 中標記為延期。

被分配此狀態的 CVE 將不再優先獲得豐富資料更新，除非它們出現在網路安全和基礎設施安全域性 (CISA) 的已知被利用漏洞 (KEV) 目錄中。 

NIST 表示，將在受影響的 CVE 頁面上新增橫幅，以使更改可見。此更改最近開始，已影響超過 20,000 個條目，總數可能達到 100,000 個。

這一決定是在 NIST 繼續應對漏洞資料處理積壓問題之際做出的。

去年，該機構的提交數量激增了 32%，未能實現在 2024 財年結束前清理積壓檔案的目標。該機構將延遲歸因於有效匯入和豐富傳入資料的挑戰。

NIST 去年 11 月表示：“為了解決這個問題，我們正在開發新系統，以便我們更有效地處理傳入的 ADP 資料。”

專家認為此舉是對複雜問題的務實回應。

Qualys 威脅研究部門網路威脅主管 Ken Dunham 表示：“NIST 將舊漏洞標記為延期的舉措是漏洞管理規模的預期演變。”

“各組織機構應將 NIST 的這一行動視為管理和優先處理自身風險的挑戰指標。”

Sectigo 高階研究員 Jason Soroko 表示，這一決定反映了戰略優先順序的重新調整。

“此舉將稀缺資源重新分配給新興威脅。它依賴於這樣的前提：遺留問題已經得到充分記錄，並透過常規補丁管理得到緩解。”索羅科解釋道。

雖然延期的 CVE 仍然可以訪問並且仍然可以請求元資料更新，但管理這些舊漏洞的責任現在更多地落在了組織本身身上。

建議安全團隊：

• 識別和監控遺留系統
• 在可行的情況下優先修補延遲的漏洞
• 強化或分割過時的基礎設施
• 使用實時威脅情報來檢測漏洞利用嘗試

隨著 CVE 數量的不斷增加，NIST 也在探索 使用人工智慧 和機器學習來簡化漏洞資料處理。