川普當選總統後,不斷削減各種政府開支,尤其是美國參與的全球計畫受影響最嚴重。最近就連常見漏洞披露(Common Vulnerabilities and Exposures,CVE)計畫也可能面臨資金耗盡危機。
此系統 1999 年啟動以來,微軟、Google、蘋果、英特爾和 AMD 等主要科技公司就廣泛使用,辨識和追蹤公開披露的網路安全漏洞。CVE 系統幫助工程師評估漏洞的嚴重程度,並確定應用修補程式或其他緩解措施的優先順序,是全球網路安全防禦體系的關鍵。參與組織為已知網路安全漏洞分配唯一識別碼,ID 由字母「CVE」後為年份和編號組成,如 CVE-2022-27254,使安全專業人員監控可能影響日常設備和關鍵資訊系統的漏洞詳情。
MITRE 營運多個聯邦研發中心,資金來源包括美國政府、業界夥伴和國際組織。川普政府宣布取消 MITRE 超過 2,800 萬美元合約後,預估美國政府繼續削減資金,MITRE 已開始裁員,影響維吉尼亞辦公室 400 多名員工。
美國國家標準與技術研究院(NIST)仍在努力清理官方國家漏洞數據庫(NVD)不斷增長的 CVE 積壓。NIST 說法,雖然國家漏洞數據庫以與 2024 年春季和初夏放緩前相同的速率處理傳入 CVE,但去年提交量增加 32%,代表積壓繼續增長。NIST 預估「2025 年提交率繼續增加」,正在摸索用 AI 和機器學習自動化某些任務。
如果停運會影響網路安全
全球標準化漏洞辨識系統的潛在服務終端可能導致漏洞追蹤和修補的混亂,沒有統一辨識碼下,不同組織可能用不同方式描述同一個漏洞,造成溝通障礙和修補延誤,增加被攻擊的風險窗口。
對企業而言,此危機提醒了建立獨立安全評估能力的重要性。企業應考慮加強內部漏洞管理流程,減少對外部標識系統的完全依賴,同時與行業夥伴和安全社區保持緊密聯繫,確保能及時獲取漏洞資訊。此外企業也可以投資於自動化漏洞管理工具,提高識別和修補能力;制定應急計畫,應對 CVE 系統潛在中斷期間的漏洞管理。
此外,企業還應密切關注 MITRE 與政府機構的後續發展,並考慮支持行業倡議,確保像 CVE 這樣的關鍵安全基礎設施能夠獲得持續穩定的資金。企業安全團隊應評估其對 CVE 系統的依賴程度,並建立備選機制來獲取和分類漏洞資訊。
減少依賴政府成趨勢
在川普政府大幅減少國際組織的參與度之下,要繼續維持國際合作,公私合作模式可能成為必然,科技公司和行業組織可能需要直接參與資助和維護關鍵安全基礎設施;其次,自動化和 AI 漏洞管理的應用將加速,NIST 已在探索這條路徑;第三,可能出現更分散的漏洞協調系統,減少依賴單一中央機構。
此外,今次危機可能促使全球網路安全治理結構的重新考量。隨著數位基礎設施變得越來越重要,確保支持安全協作的系統獲得適當資源和支持將成為國際對話的重要主題。
無論 CVE 資金危機如何解決,網路安全顯然需要重新思考關鍵基礎設施的資金和維護模式,以確保在日益複雜的威脅環境保持韌性和有效性。企業必須保持警惕,適應變化,並尋找確保系統安全的替代方法。
(本文由 Unwire Pro 授權轉載;首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
