NIST 在提交量激增的情况下限制 CVE 丰富性

执行摘要

国家标准与技术研究院（NIST）宣布大幅减少对新提交的网络安全漏洞的分析，声明将只完全丰富满足特定、未公开标准的通用漏洞和曝光（CVEs）。这一政策转变归因于CVE提交量激增263%，已使国家漏洞数据库（NVD）计划不堪重负，意味着大量新漏洞将被列出而没有关键元数据，包括严重性评分、受影响产品详情和补丁信息。这一变化根本改变了数十年的公共服务，迫使安全团队更多地依赖供应商通告和第三方来源获取漏洞情报。

技术分析

根据NIST的公告，NVD计划再也不能维持其“丰富”每个CVE记录的传统做法。丰富是NVD分析师向裸露CVE ID添加结构化数据的过程，包括受影响软件的通用平台枚举（CPE）标识符、通用漏洞评分系统（CVSS）严重性评分，以及相关通告和补丁的链接。这些元数据对于全球企业使用的自动化漏洞扫描、优先排序和管理系统至关重要。

根据新政策，只有满足某些未指定标准的CVEs将获得这种完全丰富。所有其他CVEs将被接受并在NVD中列出，仅包含其基本CVE ID、描述和参考链接——这些数据通常由发放标识符的CVE编号机构（CNA）提供。NIST没有详细说明选择标准、预期将丰富的CVEs的百分比，或政策是否临时。该机构引用了需要“解决漏洞数量增加”和“实施自动化”丰富过程的需求，但没有提供这些技术改进的时间表。

入侵指标

目前未识别任何。

战术、技术与程序

目前未识别任何。

威胁行为者背景

这不是威胁行为者的行动，而是美国关键政府网络安全实体的程序变更。然而，自由可用的权威漏洞数据的减少可能会间接惠及威胁行为者，通过减缓依赖NVD自动化的组织的补丁部署周期。监控新CVE发布的对手如果防御工具和团队在上下文化和优先排序未丰富漏洞方面更慢，可能会获得临时优势。

缓解措施与建议

安全团队和工具供应商必须立即调整他们的漏洞管理工作流程，以适应NVD减少的数据。建议的行动包括：

• **多样化数据来源：**增加对供应商安全通告、CNA出版物（如来自MITRE、GitHub和个别软件供应商的出版物）以及聚合多个来源数据的商业或开源漏洞情报平台的依赖。
• **增强内部分类：**准备进行未丰富CVEs的手动或半自动化初步分析，重点关注CVE描述中提到的您环境中的软件产品。
• **审查工具配置：**评估直接从NVD API拉取数据的漏洞扫描器、SIEM和SOAR平台是否将继续正确运行，并在必要时更新集成点。
• **倡导透明度：**与NIST和CNA社区接触，鼓励明确丰富标准和通过可持续自动化恢复全面服务的路线图。