由美国网络安全机构CISA维护的已知已利用漏洞 (KEV) 分类清单，加快了联邦机构的打补丁速度，目前该清单中已包含1000多个漏洞。

KEV 分类清单发布于2021年11月，列出了经 CISA 证实已被用于恶意攻击中的缺陷，它配合约束性操作指令 (BOD) 22-01使用，要求联邦机构在某个特定时间范围内修复新增加的漏洞。

CISA 指出，自2021年11月，联邦机构已修复超过1200个 KEV 条目实例，其中700万个实例在2023年修复。整体而言，所含KEV漏洞暴露时间超过45天的情况在联邦机构中下降了72%，而在当地政府和关键基础设施中下降了31%。

CISA 指出，KEV 分类有助于联邦机构和其他注册实体大大加快打补丁速度，KEV 漏洞的平均打补丁速度要比非KEV漏洞快9天。对于分类中的面向互联网的问题，修复速度要比非KEV漏洞快36天。

CISA 强调称，KEV 分类的目的是帮助组织机构基于受影响产品的使用方式和利用影响，对漏洞管理进行优先处理。CISA解释称，“面向互联网的 web 服务器中的KEV 提供了对客户账户的特权访问权限，它们的修复优先级要比内部系统中提供咖啡厅目录中非特权访问权限的同样的KEV高。”

虽然KEV分类的初衷是降低网络安全风险，但组织机构在实现漏洞响应计划时，不应只依赖于该清单。CISA 解释称，只有在确认存在在野利用证据且存在修复方案如打补丁或缓解信息时，才会将新漏洞增加到清单中。

CISA 提到，“有时无法找到官方补丁。在这种情况下，我们协同其它通讯方式将漏洞告知公众，并提供应当采取的措施，以便从某些方面阻止漏洞利用。在任何情况下，如果不存在可采用的补丁或其它合适的缓解措施，那么我们不会将漏洞添加到KEV清单中。”

CISA 鼓励组织机构基于决策模型如 SSVC 等，对漏洞管理实施优先处理。CISA 指出，未来新增漏洞应当会变成极少情况，因为可以通过设计安全方式减少漏洞的普遍性。

CISA 提到，“根据国家网络安全战略的规定，我们将持续推进该生态系统在未来实现在产品上市前消除几乎所有KEV的目标。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~