特朗普當選總統後,不斷削減各種政府開支,尤其是美國參與的全球計劃受影響最嚴重。最近就連通用漏洞和曝光 (Common Vulnerabilities and Exposures, CVE) 計劃也可能面臨資金耗盡的危機。
該系統自 1999 年啟動以來,一直被 Microsoft、Google、Apple、Intel 和 AMD 等主要科技公司廣泛使用,用於識別和追蹤公開披露的網絡安全漏洞。CVE 系統幫助工程師評估漏洞的嚴重程度,並確定應用修補程式或其他緩解措施的優先順序,是全球網絡安全防禦體系的關鍵組成部分。參與組織為已知的網絡安全漏洞分配唯一識別碼。這些 ID 由字母「CVE」後跟年份和編號組成,例如 CVE-2022-27254,使安全專業人員能夠監控可能影響我們日常使用的設備和包含關鍵資訊系統的漏洞詳情。
MITRE 營運著多個聯邦研發中心,資金來源包括美國政府、行業合作夥伴和國際組織。特朗普政府宣布取消 MITRE 超過 2800 萬美元合約後,在預期美國政府資金削減的情況下,MITRE 已經開始裁員,影響了其維珍尼亞辦公室的 400 多名員工。
與此同時,美國國家標準與技術研究院(NIST)仍在努力清理官方國家漏洞數據庫(NVD)中不斷增長的 CVE 積壓。根據 NIST 的說法,雖然國家漏洞數據庫正以與 2024 年春季和初夏放緩前相同的速率處理傳入的 CVE,但去年提交量增加了 32%,意味著積壓繼續增長。NIST 預計,「2025 年提交率將繼續增加」,並表示正在探索使用 AI 和機器學習來自動化某些處理任務。
如果停運將影響網絡安全
全球標準化漏洞識別系統的潛在服務終端可能導致漏洞追蹤和修補的混亂,在沒有統一識別碼的情況下,不同組織可能使用不同方式描述同一漏洞,造成溝通障礙和修補延誤,增加被攻擊的風險窗口。
對企業而言,此危機提醒了建立獨立安全評估能力的重要性。企業應考慮加強內部漏洞管理流程,減少對外部標識系統的完全依賴,同時與行業夥伴和安全社區保持緊密聯繫,確保能及時獲取漏洞資訊。此外企業也可以投資於自動化漏洞管理工具,提高識別和修補能力;制定應急計劃,應對 CVE 系統潛在中斷期間的漏洞管理。
此外,企業還應密切關注 MITRE 與政府機構的後續發展,並考慮支持行業倡議,確保像 CVE 這樣的關鍵安全基礎設施能夠獲得持續穩定的資金。企業安全團隊應評估其對 CVE 系統的依賴程度,並建立備選機制來獲取和分類漏洞資訊。
減少依賴政府成趨勢
在特朗普政府大幅減少國際組織的參與度之下,要繼續維持國際合作,公私合作模式可能成為必然,科技公司和行業組織可能需要直接參與資助和維護關鍵安全基礎設施;其次,自動化和 AI 在漏洞管理中的應用將加速,NIST 已經在探索這條路徑;第三,可能出現更分散的漏洞協調系統,減少對單一中央機構的依賴。
此外,今次危機可能促使全球網絡安全治理結構的重新考量。隨著數碼基礎設施變得越來越重要,確保支持安全協作的系統獲得適當資源和支持將成為國際對話的重要主題。
無論 CVE 的資金危機如何解決,在網絡安全上顯然需要重新思考關鍵基礎設施的資金和維護模式,以確保在日益複雜的威脅環境中保持韌性和有效性。在此期間,企業必須保持警惕,適應變化,並尋找確保系統安全的替代方法。
