美国前国会议员 Jim Langevin 是创建KEV清单的CISA绑定运营指令立法22-01推动者，他解释称KEV清单的目的是向企业提供与政府机构分享的关于哪些漏洞风险最大因此应当优先修复的信息。联邦政府被要求缓解增加至 KEV 清单的漏洞，但并未对企业提出类似要求。

漏洞被纳入KEV清单的条件是必须拥有CVE编号、已知已遭在野利用以及具有修复措施。CISA对联邦机构设置的修复期限为一周到六个月不等，其中勒索软件漏洞的紧急程度最高，这些数据是Bitsight评估该清单是否奏效时发布在报告中的数据。

Bitsight 在报告中提到，2023年35%的组织机构遇到了1个KEV——66%的组织机构遇到了不止1个，25%遇到了超过5个KEV，而10%遇到了10个以上的KEV。

报告提到，“在中危漏洞中，修复速度几乎没有区别。然而，严重KEV被修复的速度中位数要比非KEV漏洞的速度快2.6倍，而高危漏洞的修复速度快1.8倍。”

虽然修复时间线的提速令人鼓舞，但很多组织机构仍在挣扎。用于勒索攻击中的漏洞似乎会得到企业团队更高的修复优先级。报告提到，“遭勒索攻击利用的KEV漏洞的修复速度要比非勒索攻击中漏洞的修复速度快2.5倍。”同时，影响非盈利性和非政府组织的漏洞修复速度最慢，技术企业和保险以及金融企业是修复速度最快的三个行业。

联邦机构也进场挣扎于赶CISA设定的最后期限，但要比所有其它行业的修复速度快65%。约40%的KEV漏洞会在最后期限前得到修复。为了修复得更快，企业有必要设立企业级别的有效的漏洞管理系统，通过KEV清单和其它来源来收集关于威胁的上下文。Bitsight 公司的研究人员还督促组织机构关注衡量修复速度以及为行动太慢担责。

Langevin 认为KEV清单是提供威胁局势上下文信息的重要来源。Bitsight 公司的政府事务副总裁 Jake Olcott 认为KEV清单应当帮助团队识别应当将哪些漏洞提升到企业的最高层级。Olcott 指出，“KEV是应当在董事会级别被讨论的漏洞，它不仅有助于明确网络风险，还有助于衡量业务风险。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~