在不确定中，Armis 成为最新的 CVE 编号机构

Mitre 的通用漏洞与暴露 (CVE) 计划 ——上周在美国政府大规模整顿中几乎面临完全关闭——现已指定网络曝光管理专家 Armis 为 CVE 编号机构 (CNA)。

这意味着 Armis 将能审核并分配 CVE 标识符，用于支持该计划识别、定义并记录尽可能多的安全问题的使命。

“我们专注于超越传统的检测，提供真正的安全防护 —— 在攻击发生前就进行防范，而不仅仅是事后响应，”Armis 首席技术官兼联合创始人 Nadir Izrael 说道。“我们的职责和目标是帮助全行业提升网络安全意识和防护行动。这对于有效应对网络威胁整个生命周期、管理网络风险暴露以保障社会安全至关重要。”

Mitre 目前依靠全球 450 个 CNA 的专业力量 —— 其中近 250 个位于美国，还有 12 个在英国。完整名单中包含了世界上一些最大的科技公司，如 Amazon、Apple、Google、Meta 和 Microsoft，以及众多其他供应商、政府机构和计算机应急响应小组 (CERT)。

所有在名单中的组织均是自愿参与，每个组织都承诺拥有公开的漏洞披露政策、一个开放的新漏洞披露来源，并同意该计划的条款和条件。

作为回报，Mitre 表示，参与者能够向客户展示他们在漏洞管理上的成熟态度，并传递增值漏洞信息；能够掌控其参与范围内漏洞的 CVE 发布流程；在无需与其他 CNA 共享信息的情况下分配 CVE 标识符；并简化漏洞披露流程。

在该计划未来仍充满不确定性之际 —— 因为它曾一度接近被取消 —— Armis 的加入正值迷雾重重之时。事件发生后，许多安全界人士认为，对 CVE 管理方式进行彻底改革早已迫在眉睫。

“此次资金中断突显了一个关键事实：基于 CVE 的漏洞管理不能成为有效安全控制的基石。充其量，它只是一个滞后指标，其背后依赖的是一个资源不稳定的计划，”风险管理专家 Spektion 的首席执行官 Joe Silva 说道。

“未来的漏洞管理应聚焦于识别运行时中真正可被利用的攻击路径，而不仅仅是对潜在漏洞进行分类。贵组织的风险定位不应依赖于政府合同的续约。

“尽管资金已到位，但这进一步动摇了人们对 CVE 系统的信心 —— 这一依靠政府不稳定资金的众包拼凑工程本就存在缺陷。CVE 计划早已无法做到足够全面和及时，而如今更显不稳定。”

开放数据

与此同时，Armis 今天还通过向所有用户开放其专有漏洞情报数据库 (VID)，进一步扩展了其漏洞管理能力。

这一由社区驱动的数据库，由 Armis 内部的 Armis Labs 单位提供支持，提供早期预警服务和资产情报，并不断通过众包情报进行更新，以增强用户对可能影响垂直行业的新兴漏洞的优先级识别能力，从而在这些问题被广泛利用之前及时采取措施加强防御。

“随着威胁行为者不断扩大网络攻击的规模和复杂度，采取积极主动的风险降低措施至关重要，”Izrael 表示。

“Armis 漏洞情报数据库是一个由安全社区为安全社区构建的重要且易获取的资源。它将漏洞数据转化为现实世界的影响，帮助企业迅速调整，并做出更明智的决策来管理网络威胁。”

Armis 表示，目前 58% 的网络攻击受害者仅在损害发生后进行被动响应，而近四分之一的 IT 决策者认为缺乏连续的漏洞评估是其安全运营中的一大缺陷，这使得更快速地应对问题变得势在必行。