行业新闻与博客

美国国家标准与技术研究院 (NIST) 确认，2018 年 1 月 1 日之前发布的所有常见漏洞和暴露 (CVE) 将  在国家漏洞数据库 (NVD) 中标记为延期。

被分配此状态的 CVE 将不再优先获得丰富数据更新，除非它们出现在网络安全和基础设施安全局 (CISA) 的已知被利用漏洞 (KEV) 目录中。 

NIST 表示，将在受影响的 CVE 页面上添加横幅，以使更改可见。此更改最近开始，已影响超过 20,000 个条目，总数可能达到 100,000 个。

这一决定是在 NIST 继续应对漏洞数据处理积压问题之际做出的。

去年，该机构的提交数量激增了 32%，未能实现在 2024 财年结束前清理积压文件的目标。该机构将延迟归因于有效导入和丰富传入数据的挑战。

NIST 去年 11 月表示：“为了解决这个问题，我们正在开发新系统，以便我们更有效地处理传入的 ADP 数据。”

专家认为此举是对复杂问题的务实回应。

Qualys 威胁研究部门网络威胁主管 Ken Dunham 表示：“NIST 将旧漏洞标记为延期的举措是漏洞管理规模的预期演变。”

“各组织机构应将 NIST 的这一行动视为管理和优先处理自身风险的挑战指标。”

Sectigo 高级研究员 Jason Soroko 表示，这一决定反映了战略优先顺序的重新调整。

“此举将稀缺资源重新分配给新兴威胁。它依赖于这样的前提：遗留问题已经得到充分记录，并通过常规补丁管理得到缓解。”索罗科解释道。

虽然延期的 CVE 仍然可以访问并且仍然可以请求元数据更新，但管理这些旧漏洞的责任现在更多地落在了组织本身身上。

建议安全团队：

• 识别和监控遗留系统
• 在可行的情况下优先修补延迟的漏洞
• 强化或分割过时的基础设施
• 使用实时威胁情报来检测漏洞利用尝试

随着 CVE 数量的不断增加，NIST 也在探索 使用人工智能 和机器学习来简化漏洞数据处理。