最后更新于2024年3月18日星期一19:00:07 GMT
近日,美国国家标准与技术研究院(NIST)就公布了 国家漏洞数据库(NVD)站点 在添加新发布的cve信息时会有延迟. NVD为cve提供了关于漏洞的基本细节,比如漏洞的CVSS分数, 受CVE影响的软件产品, 有关bug的信息, 修补状态, 等. 自2024年2月12日以来,NVD基本上停止了强化漏洞.
鉴于NVD的广泛使用和可见性, 延迟肯定会对安全操作产生广泛的影响,这些操作依赖于及时有效的漏洞信息来确定优先级并响应由软件漏洞引入的风险.
我们想向我们的客户保证,这不会影响Rapid7在我们的产品中提供覆盖和检查漏洞的能力. 在Rapid7, 我们相信在漏洞检测创建和风险评分的多层方法, 这意味着我们的产品不完全依赖于任何单一的信息来源, NVD包括.
事实上, 对于漏洞创建, 我们主要使用供应商建议, 因此,我们的客户将继续看到新的漏洞检测,而不会中断. 对于漏洞优先级, 我们的漏洞研究人员从多个来源汇总漏洞情报, 包括我们自己的研究, 提供准确的信息和风险评分. 我们目前覆盖的未受NVD延迟影响的示例领域包括:
- 微软漏洞- CVSS信息直接从微软咨询,
- 覆盖范围在CISA KEV列表上的漏洞,以及,
- 任何有漏洞的 紧急威胁响应 过程-我们的研究人员手动分析和丰富这些漏洞作为我们的ETR过程的一部分
以下是微软CVE-2024-26166最新漏洞的示例,其CVSS和主动风险评分不受NVD影响:
然而, Rapid7的漏洞检测数据库的某些部分确实依赖于NVD数据来充实填充字段,例如CVSS分数. 这些漏洞将继续由我们专有的风险评分算法补充, 积极的风险 一旦从国家气象局获得浓缩资料,将予以更新.
主动风险利用来自多个威胁源的情报, 除了CVSS分数, 像AttackerKB, Metasploit, ExploitDB, 项目海森堡, CISA KEV列表, 以及其他第三方暗网资源,为安全团队提供0-1000级的威胁感知漏洞风险评分. 这种方法可以确保客户在NVD延迟的情况下继续优先考虑和修复最重要的风险.
首先也是最重要的, 我们希望向我们的客户保证,他们将继续在我们的产品中覆盖和检查紧急和活跃的漏洞. 我们的团队将继续投资于各种脆弱性增强信息, 并且我们正在积极地进行新的更新,这将确保对CVSS评分没有额外的影响. 我们将继续密切关注事态发展, 分享可用的相关信息, 并通过我们的支持渠道为客户提供额外的指导.
