行業新聞與博客

美國國家標準與技術研究院 (NIST) 確認，2018 年 1 月 1 日之前發佈的所有常見漏洞和暴露 (CVE) 將  在國家漏洞數據庫 (NVD) 中標記為延期。

被分配此狀態的 CVE 將不再優先獲得豐富數據更新，除非它們出現在網絡安全和基礎設施安全局 (CISA) 的已知被利用漏洞 (KEV) 目錄中。 

NIST 表示，將在受影響的 CVE 頁面上添加橫幅，以使更改可見。此更改最近開始，已影響超過 20,000 個條目，總數可能達到 100,000 個。

這一決定是在 NIST 繼續應對漏洞數據處理積壓問題之際做出的。

去年，該機構的提交數量激增了 32%，未能實現在 2024 財年結束前清理積壓文件的目標。該機構將延遲歸因於有效導入和豐富傳入數據的挑戰。

NIST 去年 11 月表示：“為了解決這個問題，我們正在開發新系統，以便我們更有效地處理傳入的 ADP 數據。”

專家認為此舉是對複雜問題的務實回應。

Qualys 威脅研究部門網絡威脅主管 Ken Dunham 表示：“NIST 將舊漏洞標記為延期的舉措是漏洞管理規模的預期演變。”

“各組織機構應將 NIST 的這一行動視為管理和優先處理自身風險的挑戰指標。”

Sectigo 高級研究員 Jason Soroko 表示，這一決定反映了戰略優先順序的重新調整。

“此舉將稀缺資源重新分配給新興威脅。它依賴於這樣的前提：遺留問題已經得到充分記錄，並通過常規補丁管理得到緩解。”索羅科解釋道。

雖然延期的 CVE 仍然可以訪問並且仍然可以請求元數據更新，但管理這些舊漏洞的責任現在更多地落在了組織本身身上。

建議安全團隊：

• 識別和監控遺留系統
• 在可行的情況下優先修補延遲的漏洞
• 強化或分割過時的基礎設施
• 使用實時威脅情報來檢測漏洞利用嘗試

隨着 CVE 數量的不斷增加，NIST 也在探索 使用人工智能 和機器學習來簡化漏洞數據處理。