超越漏洞管理：CVE 体系面临哪些挑战？

漏洞管理的漏洞临挑困境

漏洞管理的被动性叠加政策流程的延迟
，使安全团队不堪重负。管理根据我们漏洞运营中心（VOC）的系面数据分析 ，在68,漏洞临挑500个客户资产中发现了1,337,797个独立安全事件
，其中32,管理585个为不同CVE（通用漏洞披露）编号 ，10,系面014个CVSS（通用漏洞评分系统）评分≥8分。外部资产存在11,漏洞临挑605个独特CVE，内部资产则高达31,管理966个 。面对如此庞大的系面漏洞数量，部分漏洞未能及时修补导致系统沦陷已不足为奇。漏洞临挑

本文将探讨漏洞报告现状
、管理基于威胁和利用可能性的源码下载系面优先级排序方法，分析统计概率并简要讨论风险应对 。漏洞临挑最后我们将提出降低漏洞影响的管理解决方案 ，同时为管理团队提供危机响应的系面灵活策略。

CVE体系的局限性

西方国家普遍采用由MITRE和NIST（美国国家标准与技术研究院）主导的CVE和CVSS体系。截至2025年4月 ，运行25年的CVE项目已发布约29万条记录（含"已拒绝"和"延期"条目） 。NIST国家漏洞数据库（NVD）依赖CVE编号机构（CNA）进行初始评估，这种机制虽提升效率但也引入偏差 。研究者与厂商对漏洞严重性的分歧常导致关键漏洞披露延迟
。源码库

2024年3月的行政延误造成NVD积压24,000条未处理的CVE记录。2025年4月，美国国土安全部终止与MITRE的合同更引发行业对CVE体系未来的担忧，所幸在业界强烈反响下最终延续了资金支持
。

中国自2009年运营的CNNVD漏洞库[5]虽具技术价值[6,7]，但受政治因素影响难以国际合作。值得注意的是 ，并非所有漏洞都会立即披露（形成盲区） ，而未被发现的亿华云零日漏洞更持续被利用。2023年谷歌威胁分析组（TAG）和Mandiant共发现97个零日漏洞，主要影响移动设备 、操作系统和浏览器。相比之下，CVE词典中仅约6%的漏洞曾被利用，2022年研究显示半数企业每月仅修复15.5%或更少的漏洞。

威胁情报驱动的决策

尽管存在缺陷，CVE系统仍提供有价值的漏洞情报。为应对海量漏洞 ，需优先处理最可能被利用的威胁。云计算事件响应与安全团队论坛（FIRST）开发的EPSS（漏洞利用预测评分系统）能预测漏洞在野利用概率 。安全团队可据此选择广泛修补策略或重点防御关键漏洞
，两者各有利弊 。

为验证覆盖范围与效率的平衡，我们分析某公共部门客户的397个漏洞扫描数据。如图所示，当考虑前264个漏洞时
，利用概率的缩放计算已接近100%  ，而此时最高单个漏洞EPSS评分仍低于11% 。这说明在系统规模扩大时，仅依赖EPSS进行优先级排序将面临巨大挑战。

攻击者的模板下载成功概率

通过概率模型分析可得出三个关键结论：

攻击者成功率随目标系统数量呈指数增长：针对100个系统时，中等技能攻击者的成功概率已接近100%企业内网通常存在数千台设备 
，单点突破即可横向移动专业渗透测试人员对互联网目标的平均成功率约为30%

重构漏洞管理范式

当前以CVE为核心的漏洞管理模式已难以应对挑战，建议转向"威胁缓解"与"风险降低"双轨制：

威胁缓解措施：

重点防护互联网暴露面系统动态响应流程整合补丁、配置调整 、补偿控制等手段将EPSS作为威胁情报的辅助工具

风险降低策略 ：

收缩攻击面：清理未管理的互联网暴露资产限制影响范围
 ：通过网络分段 、零信任架构控制横向移动提升基线安全：系统化减少漏洞数量与严重性，优先投资回报率高的改进

2030安全战略框架

未来安全建设应关注：

源头治理：将安全融入系统设计与供应链管理威胁建模 ：通过攻防演练验证防御有效性架构革新 ：实施SASE和零信任战略默认安全 ：建立强制性的安全基线标准

（注 ：本文核心观点来自Orange Cyberdefense高级安全研究员Wicus Ross）