ENISA 官方警告全球 CVE 基础设施脆弱，欧盟监管中

执行摘要

根据欧盟高级网络安全官员的说法，最近针对公共漏洞和暴露（CVE）项目的资助不稳定暴露了全球安全基础设施的脆弱性，而行业对此却习以为常。欧洲网络安全局（ENISA）事故和漏洞服务部门负责人努诺·罗德里格斯·卡瓦略（Nuno Rodrigues Carvalho）表示，这一事件是一个“警钟”，突显了系统性依赖。与此同时，新的欧盟法规，包括网络弹性法案（CRA）和NIS2指令，正式将协调漏洞披露作为产品供应商和关键实体的法律义务，标志着从自愿实践到强制问责的重大转变。

技术分析

通过CVE系统识别和编目漏洞的核心技术流程在最近的资助恐慌中没有直接的技术中断。然而，卡瓦略在接受Help Net Security采访时强调，该事件揭示了该计划组织和财务基础中的关键单一故障点。CVE系统由MITRE公司运营，并得到美国网络安全和基础设施安全局（CISA）的支持，实际上充当了全球公共产品。其潜在的中断不会停止漏洞发现，但会严重损害全球防御者所依赖的标准化跟踪、通信和补丁工作流程。卡瓦略将此框架为基础设施弹性问题，其中基础安全服务的运营连续性被证明容易受到非技术冲击的影响。

入侵指标

目前没有识别出任何入侵指标。

战术、技术与程序

讨论的主要战术、技术和程序（TTP）与政策和流程有关，而不是对手行动。CRA和NIS2所体现的监管转变要求供应商采取特定的程序技术：为安全研究人员建立联系点，实施接收和评估漏洞报告的流程，开发补丁，并向用户传播安全更新。对于关键部门内的实体，NIS2要求实施漏洞处理和披露程序。这将之前自愿的协调漏洞披露（CVD）实践的拼凑变成了一个具有事件报告时间线和不合规潜在处罚的可执行法律框架。

威胁行为者背景

此分析不关注特定的威胁行为者群体。相反，背景是更广泛的威胁格局，其中未修补的漏洞是主要的攻击向量。监管推动旨在通过迫使供应商更快、更透明地响应漏洞来减少所有组织的暴露窗口。卡瓦略隐含地将缓慢或不存在的供应商补丁流程框架为系统性风险，这有利于所有威胁行为者，从机会主义网络犯罪分子到国家支持的高级持续性威胁（APT）。法规旨在通过在供应方面施加法律后果来改变这种动态。

缓解措施与建议

卡瓦略的建议侧重于组织和系统准备，而不是技术控制。对于供应商，特别是那些在欧盟销售产品的供应商，迫切需要立即建立和完善CVD流程以遵守CRA。这包括创建专门的安全联系渠道和清晰的内部补丁开发工作流程。对于NIS2下的关键实体，实施内部漏洞处理政策现在是一个合规要求。在宏观层面上，卡瓦略主张加强国际合作，并可能为全球漏洞披露基础设施提供多样化的支持，以减轻单一故障点依赖的风险，正如CVE资助事件所揭示的那样。组织还应优先考虑供应商管理，将供应商的安全更新实践作为第三方风险的一个组成部分进行评估。