CISA开放漏洞提交渠道，征集已被利用的安全漏洞线索

美国网络安全和基础设施安全局（CISA）近日宣布，现已允许安全专家向该机构提名漏洞，以便将其纳入”已知被利用漏洞”（KEV）目录。

CISA于周四正式发布了一份提交表单，供技术厂商、独立研究人员及其他相关人士使用。任何人均可通过该表单向CISA报告黑客正在积极利用的漏洞，建议将其收录进KEV目录。

CISA网络安全事务代理执行助理主任克里斯·布特拉在声明中表示：”这一全新的报告渠道将增强CISA识别、验证并快速共享关键威胁情报的能力。早期检测与协调一致的漏洞披露，是我们大规模降低安全风险最有力的手段之一。”

该表单要求提交者尽可能详细地提供漏洞相关信息，包括CVE编号、漏洞被利用的证据以及缓解建议，同时还需说明该漏洞是否影响多个厂商或产品。

事实上，CISA此前一直面临KEV目录更新滞后的问题。2023年曾多次出现CISA未能及时发出漏洞利用预警的情况，对此有专家批评称，KEV目录不过是黑客活动的”滞后指标”。

自2021年11月KEV目录正式上线以来，CISA持续扩充其收录范围，并要求各政府机构在规定时间窗口内完成新增漏洞的修复工作。截至周四上午，该目录已收录约1600个漏洞。过去两周内，CISA已对KEV目录进行了六次更新，仅周四当天就新增了七个漏洞。

与此同时，另一机构也在应对新披露漏洞数量激增的压力。美国国家标准与技术研究院（NIST）数十年来持续为其自有漏洞数据库补充详细的利用方式与缓解信息，但NIST近期宣布，由于资源有限，将不得不缩减该项工作，转而优先处理最为严重的漏洞。

Q&A

Q1：CISA的已知被利用漏洞（KEV）目录是什么？有什么用？

A：KEV目录是CISA维护的一个漏洞数据库，专门收录已被黑客实际利用的安全漏洞。自2021年11月上线以来，该目录要求各政府机构必须在规定时间内完成对新增漏洞的修复。截至目前，目录已收录约1600个漏洞，是政府机构和企业识别高风险漏洞、优先修复的重要参考工具。

Q2：如何向CISA提交漏洞信息？需要提供哪些内容？

A：任何人，包括技术厂商、独立安全研究人员都可以通过CISA发布的在线表单提交漏洞信息。提交时需尽量提供漏洞的CVE编号、漏洞被实际利用的证据、相应的缓解建议，以及该漏洞是否影响多个厂商或产品等信息，以帮助CISA快速评估并决定是否将其纳入KEV目录。

Q3：NIST漏洞数据库缩减工作对安全行业有什么影响？

A：NIST长期为其漏洞数据库提供详细的利用方式和缓解信息，是安全行业的重要参考来源。此次NIST宣布因资源不足将缩减数据库的信息补充工作，仅优先处理最严重的漏洞，这意味着大量中低级别漏洞的详细信息可能得不到及时更新，安全团队在漏洞研判和响应效率上可能面临更大挑战。