最后更新于2024年3月18日星期一19:00:07 GMT
近日,美国国家标准与技术研究院(NIST)就公布了 国家漏洞数据库(NVD)站点 在添加新发布的cve信息时会有延迟. NVD为cve提供了关于漏洞的基本细节,比如漏洞的CVSS分数, 受CVE影响的软件产品, information on the bug, patching status, etc. 自2024年2月12日以来,NVD基本上停止了强化漏洞.
鉴于NVD的广泛使用和可见性, 延迟肯定会对安全操作产生广泛的影响,这些操作依赖于及时有效的漏洞信息来确定优先级并响应由软件漏洞引入的风险.
我们想向我们的客户保证,这不会影响Rapid7在我们的产品中提供覆盖和检查漏洞的能力. At Rapid7, 我们相信在漏洞检测创建和风险评分的多层方法, 这意味着我们的产品不完全依赖于任何单一的信息来源, NVD included.
In fact, for vulnerability creation, we largely use vendor advisories, 因此,我们的客户将继续看到新的漏洞检测,而不会中断. For vulnerability prioritization, 我们的漏洞研究人员从多个来源汇总漏洞情报, including our own research, 提供准确的信息和风险评分. 我们目前覆盖的未受NVD延迟影响的示例领域包括:
- 微软漏洞- CVSS信息直接从微软咨询,
- 覆盖范围在CISA KEV列表上的漏洞,以及,
- 任何有漏洞的 Emergent Threat Response 过程-我们的研究人员手动分析和丰富这些漏洞作为我们的ETR过程的一部分
以下是微软CVE-2024-26166最新漏洞的示例,其CVSS和主动风险评分不受NVD影响:
However, Rapid7的漏洞检测数据库的某些部分确实依赖于NVD数据来充实填充字段,例如CVSS分数. 这些漏洞将继续由我们专有的风险评分算法补充, Active Risk 一旦从国家气象局获得浓缩资料,将予以更新.
主动风险利用来自多个威胁源的情报, in addition to CVSS score, like AttackerKB, Metasploit, ExploitDB, Project Heisenberg, CISA KEV list, 以及其他第三方暗网资源,为安全团队提供0-1000级的威胁感知漏洞风险评分. 这种方法可以确保客户在NVD延迟的情况下继续优先考虑和修复最重要的风险.
First and foremost, 我们希望向我们的客户保证,他们将继续在我们的产品中覆盖和检查紧急和活跃的漏洞. 我们的团队将继续投资于各种脆弱性增强信息, 并且我们正在积极地进行新的更新,这将确保对CVSS评分没有额外的影响. 我们将继续密切关注事态发展, 分享可用的相关信息, 并通过我们的支持渠道为客户提供额外的指导.
