行业研究公司研究宏观策略财报招股书会议纪要中央经济工作会议低空经济 DeepSeek AIGC 智能驾驶大模型

漏洞数据的主要关切问题研究报告

信息技术2025-04-24-云安全联盟静***

AI智能总结

核心观点

本研报探讨了当前漏洞数据管理中存在的挑战，并分析了现有的漏洞评分系统（如CVE和CVSS）的局限性。报告指出，随着漏洞数量的激增和技术的快速发展，传统的漏洞数据管理系统已经无法满足现代网络安全的需求。

关键数据

自2017年以来，NVD共报告超过133,000个CVE，而CVE编号机构（CNA）的数量并未与之匹配。
1999年: 321 个 CVE漏洞
2010: 4,639 CVEs
2020: 18,375个 CVE
2023: 28,961 CVEs
2024（截至第二季度）：20,413 个 CVE

现有漏洞数据管理系统的局限性

数据质量和保真度: 许多CVE缺乏重要的元数据信息，例如具体影响细节、受影响的库以及其他处理这些漏洞所必需的数据。
不良激励机制: 存在公司恶意隐藏某些漏洞的动机，导致漏洞报告不完整或质量低下。
寻找相关漏洞数据: 项目所有者难以找到与他们的项目相关的CVE发布，导致在CVE初始发布时信息有误。
缺乏互操作性: 不同的漏洞数据库使用了广泛多样的数据格式，且无法协同工作，增加了组织进行漏洞管理的复杂性。
解决争端: 争议处理流程缺乏透明度，这意味着虚假信息可能在争议解决之前传播开来。
报告漏洞的复杂性: 漏洞报告机制存在不一致和复杂的问题，阻碍了报告提交，并对CVE流程的质量和有效性产生了负面影响。
每年CVE数量不断增加: 漏洞报告数量的激增加剧了CVE系统内现有的几个问题。

CVSS的缺点

无法优先考虑风险: CVSS无法优先考虑诸如漏洞被利用时对业务造成的实际后果、该漏洞被利用的可能性以及其公开程度等因素。
静态评分系统: CVSS根据各种因素静态分配一个基础评分，该评分在初始分配后很少更新，无法反映漏洞影响或威胁等级随时间发生任何变化。

CVSS的替代方案

EPSS (Exploit Prediction Scoring System): 通过关注漏洞被利用的可能性而非仅考虑其严重程度，提供了一种更准确且可操作的优先修复工作方法。
VPR (Vulnerability Prioritization System): 通过结合技术影响和威胁情报来增强漏洞修复能力，并提供综合风险评估。
SSVC (Stakeholder-Specific Vulnerability Categorization): 采用决策树模型，该模型利用定性数据来帮助指导持有者进行漏洞管理。
VAST (Visual, Agile, Simple Threat Modeling): 使用流程图来直观地表示系统架构、数据流和信任边界，使威胁识别更加直观。

威胁建模框架

STRIDE: 识别和分类软件系统中的安全威胁。
LINDDUN: 系统性地识别和缓解软件架构中的隐私威胁。
PASTA (Process for Attack Simulation and Threat Analysis): 以风险为中心的方法论，旨在通过七个阶段识别和缓解安全威胁。
TRIKE: 以风险管理视角进行安全审计的开源威胁建模方法。
DREAD: 解决漏洞对系统可能产生的影响。

未来方向与新兴趋势

大数据问题与规模问题: 随着漏洞数量的激增，漏洞数据库面临着大规模数据管理问题。
人工智能和机器学习的作用: 人工智能能够接触到大量历史数据，这些数据可用于部分确定漏洞评分。机器学习模型则支持主动威胁检测与优先级划分。

研究结论

网络安全领域日新月异的形势要求创新解决方案以应对漏洞数据管理中的挑战。传统的CVE和CVSS等系统在数据质量、可扩展性和适应性方面存在局限性。通过整合人工智能（AI）和机器学习（ML）技术，可提升漏洞评分、报告和管理流程。AI驱动工具能够自动化并丰富漏洞数据，提高数据库间的互操作性，并提供动态、情境感知的评估。ML模型则支持主动威胁检测与优先级划分，减轻安全团队负担，增强组织韧性。在漏洞数据管理中拥抱AI和ML至关重要，以应对漏洞数量和复杂性的持续增长。利益相关者之间的协作与技术进步将共同开创更有效的未来网络安全策略。

Vulnerability Data工作组固定且正式的地点是https://cloudsecurityalliance.org/research/working-groups/vulnerability-data © 2024 云安全联盟——版权所有。您可以下载、存储、在您的计算机上显示、查看、打印，并链接至云安全联盟。https://cloudsecurityalliance.org受以下条款约束：(a) 草稿仅供个人、信息、非商业用途使用；(b) 草稿不得以任何方式修改或变更；(c) 草稿不得重新分发；(d) 商标、版权或其他声明不得删除。根据美国版权法中合理使用条款的规定，您可以引用草稿的部分内容，但须将所引用部分归因于云安全联盟。致谢主要作者 Abhineeth Pasam Ahaan Sinha 审稿人 Alan Curran MSc Anita Whitby Charan Akiri Clifton FernandesDebrup Ghosh Edward Newman Gene Schank James Morgan-Jones Mallika Gunturu Mark SzalkiewiczMeghana Parwate Michael Roza PrateekMittal Rahul Kalva Rajashekar Yasani Rhitvik Sinha Shruti Dhumak Sudheer Vallandas Vani Murthy CSA Global Staff Josh Buker StephenLumpe Kurt Seifried 目录致谢........................................................................................................................................................3目录.........................................................................................................................................................4引言...................................................................................................................................................................5脆弱性数据的作用............................................................................................................................................5当前漏洞数据状态....................................................................................................................6识别当前面临的挑战...........................................................................................................................6CVE.........................................................................................................................................................................6数据质量和保真度..............................................................................................................................6不良激励不创建CVEs....................................................................................................7寻找相关漏洞数据............................................................................................................7通知项目维护者......................................................................................................................8缺乏互操作性.................................................................................................................................8解决纠纷........................................................................................................................................9报告漏洞的复杂性.....................................................................................................9每年CVE数量不断增加....................................................................................................10CVSS.......................................................................................................................................................................11CVSS的缺点......................................................................................................................................12无法优先考虑风险............................................................................................................................................12静态评分系统..................................................................................................................................13用户故事................................................................................................................................................................. 13cURL......................................................................................................................................................................13定制解决方案................................................................................................................................................14替代CVSS的方法..................................................................................................................................................15威胁建模框架...................................................................................................................................... 18什么是威胁建模？...................................................................................................................................18STRIDE..................................................................................................................................................................18LINDDUN..............................................................................................................................................................19PASTA....................................................................................................................................................................19VAST.....................................................................................................................................................................20TRIKE....................

点击免费查看完整报告