全球网络安全“警报系统”正在失灵
数十亿人每天依靠数字系统来处理从通信、商务到关键基础设施的一切事务。然而,用于向安全团队预警危险软件缺陷的全球早期预警系统正暴露出严重的覆盖缺口——大多数用户并未意识到他们的数字生活很可能正变得越发脆弱。
在过去的18个月里,全球网络安全的两大支柱几近崩溃。2024年2月,全球依赖其免费安全威胁分析的美国支持的国家漏洞数据库突然停止发布新条目,理由是一个模糊的“机构间支持变更”。随后在今年4月,用于跟踪软件缺陷的基础编号系统——通用漏洞披露项目似乎也面临类似风险:一封泄露的信件警告称其合同即将到期。
网络安全从业者随后涌入Discord频道和LinkedIn,发布了大量紧急帖子和刻有“NVD”和“CVE”的墓碑梗图。未修补的漏洞是网络攻击者入侵的第二常见途径,并曾导致致命的医院停运和关键基础设施故障。一位美国网络安全专家在某社交媒体上表示:“失去就像同时从每个图书馆撕掉卡片目录——让防御者在混乱中整理,而攻击者则充分利用这一点。” 如果说CVE像卡片目录一样识别每个漏洞,那么NVD条目则提供了包含严重性、范围和可利用性等背景信息的详细分析。
最终,某中心延长了对CVE项目一年的资助,将此事件归因于“合同管理问题”。但NVD的情况则更为复杂。据报道,其母机构美国国家标准与技术研究院在2024年预算被削减了约12%,恰逢某中心撤回了其对NVD每年370万美元的资助。不久之后,随着积压工作增加,某中心启动了自身的“漏洞丰富”项目,以帮助填补分析缺口,同时推动一种更分布式的方案,允许多个授权合作伙伴发布经过丰富的数据。
“某中心持续评估如何最有效地分配有限资源,以帮助组织降低新披露漏洞的风险,”该机构漏洞管理副主任表示。她强调,“漏洞丰富”项目的设立不仅是为了填补空白,更是为了提供独特的额外信息,例如针对特定利益相关方的建议行动,并“降低对联邦政府作为漏洞丰富信息唯一提供者的依赖”。
与此同时,某研究院紧急雇佣承包商来帮助清理积压工作。尽管处理水平已恢复到危机前,但新披露给NVD的漏洞数量激增,超过了这些努力。根据某软件公司的数据,目前有超过25,000个漏洞等待处理——几乎是2017年之前最高点的10倍。在此之前,NVD基本能跟上CVE的发布速度,积压量极小。
“情况一直很混乱,我们正在经历全方位的变革时期,”某研究院信息技术实验室计算机安全部门前负责人在4月的一次行业活动中表示。“领导层已向我及所有人保证,NVD现在是、并将继续是某研究院在资源和能力方面的首要任务。”该负责人于5月离开了工作20年的某研究院,而某研究院拒绝对积压问题发表评论。
目前的情况已促使多个政府机构采取行动,美国商务部于5月启动了对NVD的审计,众议院民主党人则在6月呼吁对这两个项目进行更广泛的调查。但对信任的损害已经在改变地缘政治和供应链,因为安全团队正在为网络风险的新时代做准备。
“这留下了不好的印象,人们意识到不能再依赖这个系统了,”一位负责构建和运行企业漏洞管理项目的人士表示。“即使他们明天就获得更多预算并恢复一切,我也不知道这种情况不会再次发生。所以我必须确保我有其他控制措施。”
随着这些公共资源的衰弱,组织和政府正面临我们数字基础设施中的一个关键弱点:至关重要的全球网络安全服务依赖于一个复杂的、随时可能被削减或转移的某中心机构利益和政府资金网络。
安全资源的“拥有者”与“匮乏者”
互联网早期涓涓细流般的软件漏洞,如今已演变成无法阻挡的雪崩,而追踪这些漏洞数十年的免费数据库已难以跟上。7月初,CVE数据库收录的漏洞数量已突破30万大关。这个数字每年都以不可预测的幅度跳跃增长,有时是10%或更多。即使在最近一次危机之前,NVD就因新漏洞分析的发布延迟而臭名昭著,常常落后于私营安全软件和供应商的安全公告数周甚至数月。
某人士观察到,越来越多的组织开始采用包含自身威胁情报服务的商业漏洞管理软件。“我们确实过度依赖我们的VM工具了,”她描述道,安全团队越来越依赖像某中心、某机构和某公司这样的供应商来补充或替代不可靠的公共数据库。这些平台结合自身研究与各种数据源,创建专有的风险评分,帮助团队确定修复优先级。
但并非所有组织都有能力用高级安全工具来填补NVD留下的空白。“规模较小的公司和初创企业,本就处于劣势,将面临更大风险,”她解释道。
一位预算有限的中期云初创公司安全工程师用直白的语言描述了其影响:“如果NVD没了,市场将出现危机。其他数据库没那么普及,即使被采用,它们也不是免费的。如果你没有最新的数据,你就会暴露在拥有这些数据的攻击者面前。”
不断增长的积压意味着新设备更可能出现漏洞盲点——无论是家中的某门铃,还是办公楼的‘智能’门禁系统。最大的风险可能是那些‘一次性’的、容易被忽视的安全漏洞。“有成千上万的漏洞不会影响大多数企业,”某人士说。“那些正是我们得不到分析的漏洞,这将使我们处于危险之中。”
某研究院承认其对积压问题影响哪些组织最深缺乏了解。“我们不跟踪哪些行业使用哪些产品,因此无法衡量对特定行业的影响,”一位发言人说。相反,该团队根据某中心的已知被利用漏洞列表以及供应商安全公告中提及的漏洞来确定优先级。
最大的漏洞
一位前CVE委员会成员、开源漏洞数据库的原始项目负责人,从内部目睹了这个系统的演变和恶化。他以其作为领先的历史学家和实践者,在几十年间建立了富有争议的声誉。他称,他目前参与的项目某数据库,其表现优于他曾帮助监管的官方数据库。
“我们的团队处理更多的漏洞,速度快得多,而且成本只是现有系统的一小部分,”他指的是支持当前系统的数千万政府合同。他在5月接受采访时表示,他的数据库包含超过112,000个没有CVE标识符的漏洞——这些存在于现实世界中的安全缺陷,对于仅依赖公共渠道的组织来说是不可见的。“如果你给我资金把团队扩大三倍,那个非CVE漏洞的数量将达到50万左右,”他说。
在某中心,官方的漏洞管理职责分散在网络承包商、机构和某非营利中心之间。像某先生这样的批评者认为,这造成了冗余、混乱和低效的可能性,中间管理层级多,而真正的漏洞专家相对较少。也有人为这种分散模式的价值辩护。“这些项目相互建立或补充,以创建一个更全面、支持性更强、更多样化的社区,”某中心在一份声明中表示。“这增加了整个生态系统的韧性和实用性。”
随着某中心领导力的动摇,其他国家正在加紧行动。某国目前运营着多个漏洞数据库,其中一些出人意料地强大,但存在受到国家控制的可能性而蒙上阴影。5月,某联盟加速启动了其自身的数据库,以及一个去中心化的“全球CVE”架构。继社交媒体和云服务之后,漏洞情报已成为争夺技术独立的另一个前沿阵地。
这使得安全专业人员不得不应对多个可能相互冲突的数据源。“这会变得一团糟,但我宁愿信息过多,也不愿一点都没有,”某人士描述她的团队如何监控多个数据库,尽管这增加了复杂性。
重置软件责任
当防御者适应日益碎片化的形势时,科技行业也面临另一个反思:为什么软件供应商不承担更多责任来保护客户免受安全问题的影响?主要供应商每年例行披露数千个新漏洞,但未必会全部修补。一个单一的暴露就可能导致关键系统崩溃,或增加欺诈和数据滥用的风险。
几十年来,该行业一直隐藏在法律的庇护之下。“拆封许可协议”一度迫使消费者广泛放弃追究软件供应商缺陷责任的权利。如今通常在弹出式浏览器窗口中呈现的最终用户许可协议,已经演变成冗长到难以理解的文档。去年11月,一个名为“绝望的EULA”的实验室项目,用《战争与和平》的长度来衡量这些庞杂的合同。最严重的违规者?某社交媒体,其细则长达15.83部小说的篇幅。
“这是我们围绕整个生态系统创造的法律虚构,它是不可持续的,”一位某中心特别顾问、某大学技术法律教授说,她负责指导某政策创新实验室。“有些人指出软件可能包含产品和服务的混合体,导致更复杂的情况。但就像在工程或金融诉讼中一样,即使是最混乱的场景也可以在专家的协助下得到解决。”
围绕软件故障(无论是源于安全漏洞还是危及公共安全的其他缺陷)的这种责任盾牌终于开始破裂。例如,某女士提到了2024年7月某安全公司的停电事件,当时该公司流行的终端检测软件更新触发了全球数百万台Windows计算机崩溃,导致从航空公司到医院再到911系统等一切服务中断。该事件造成了数十亿美元的估计损失,甚至宣布进入“紧急状态”。现在,受影响的公司如某航空公司,已经聘请了高薪律师来追究巨额赔偿——这标志着诉讼闸门的开启。
尽管漏洞数量飙升,但许多都属于早已确定的类别,例如干扰数据库查询的SQL注入和允许远程执行代码的缓冲区内存溢出。某女士主张建立强制性的“软件物料清单”——一份成分清单,让组织能够了解其整个软件供应链中存在哪些组件和潜在漏洞。最近一份报告发现,30%的数据泄露源于第三方软件供应商或云服务提供商的漏洞。
她补充道:“当你无法区分那些偷工减料的公司和真正投入资金为客户服务的公司时,这就会导致一个所有人都输的市场。”某中心的领导层也认同这一观点,一位发言人强调了其“安全设计原则”,例如“免费提供基本安全功能、消除某些类别的漏洞,以及以减少客户网络安全负担的方式构建产品”。
避免数字“黑暗时代”
从业人员寄希望于用AI来帮助填补空白,同时为即将到来的由AI代理发起的网络攻击潮做准备,这或许并不令人惊讶。安全研究人员已使用某AI模型来发现新的“零日”漏洞。NVD和CVE团队都在开发“AI驱动的工具”,以帮助简化数据收集、识别和处理。某研究院表示,“我们高达65%的分析时间花在了生成CPE上”——这是用于精确定位受影响软件的产品信息代码。如果AI能解决哪怕部分这一繁琐过程,就能显著加快分析流程。
但某先生对围绕AI的乐观态度提出了警告,他指出这项技术尚未得到验证,且常常充满错误——在安全领域,这可能是致命的。“与其依赖AI或机器学习,有方法可以战略性地自动化部分漏洞数据处理过程,同时确保99.5%的准确性,”他说。
AI也未能解决治理方面更根本的挑战。由脱离的委员会成员于2025年4月发起的CVE基金会,提出了一个全球资助的非营利模式,类似于互联网寻址系统从某中心政府控制转向国际治理的模式。其他安全领导者正在推动重振像某机构的OSV项目或某公司维护的NVD++这样的开源替代方案,这些方案对公众开放,但目前资源有限。
随着这些各种改革努力获得势头,世界正在意识到一个事实:漏洞情报——就像疾病监测或航空安全一样——需要持续的合作和公共投资。没有这些,剩下的将只是付费数据库的拼凑,威胁着使除最富有的组织和国家之外的所有人永久暴露在风险之下。
