Mitre 的通用漏洞与暴露 (CVE) 计划 ——上周在美国政府大规模整顿中几乎面临完全关闭——现已指定网络曝光管理专家 Armis 为 CVE 编号机构 (CNA)。
这意味着 Armis 将能审核并分配 CVE 标识符,用于支持该计划识别、定义并记录尽可能多的安全问题的使命。
“我们专注于超越传统的检测,提供真正的安全防护 —— 在攻击发生前就进行防范,而不仅仅是事后响应,”Armis 首席技术官兼联合创始人 Nadir Izrael 说道。“我们的职责和目标是帮助全行业提升网络安全意识和防护行动。这对于有效应对网络威胁整个生命周期、管理网络风险暴露以保障社会安全至关重要。”
Mitre 目前依靠全球 450 个 CNA 的专业力量 —— 其中近 250 个位于美国,还有 12 个在英国。完整名单中包含了世界上一些最大的科技公司,如 Amazon、Apple、Google、Meta 和 Microsoft,以及众多其他供应商、政府机构和计算机应急响应小组 (CERT)。
所有在名单中的组织均是自愿参与,每个组织都承诺拥有公开的漏洞披露政策、一个开放的新漏洞披露来源,并同意该计划的条款和条件。
作为回报,Mitre 表示,参与者能够向客户展示他们在漏洞管理上的成熟态度,并传递增值漏洞信息;能够掌控其参与范围内漏洞的 CVE 发布流程;在无需与其他 CNA 共享信息的情况下分配 CVE 标识符;并简化漏洞披露流程。
在该计划未来仍充满不确定性之际 —— 因为它曾一度接近被取消 —— Armis 的加入正值迷雾重重之时。事件发生后,许多安全界人士认为,对 CVE 管理方式进行彻底改革早已迫在眉睫。
“此次资金中断突显了一个关键事实:基于 CVE 的漏洞管理不能成为有效安全控制的基石。充其量,它只是一个滞后指标,其背后依赖的是一个资源不稳定的计划,”风险管理专家 Spektion 的首席执行官 Joe Silva 说道。
“未来的漏洞管理应聚焦于识别运行时中真正可被利用的攻击路径,而不仅仅是对潜在漏洞进行分类。贵组织的风险定位不应依赖于政府合同的续约。
“尽管资金已到位,但这进一步动摇了人们对 CVE 系统的信心 —— 这一依靠政府不稳定资金的众包拼凑工程本就存在缺陷。CVE 计划早已无法做到足够全面和及时,而如今更显不稳定。”
开放数据
与此同时,Armis 今天还通过向所有用户开放其专有漏洞情报数据库 (VID),进一步扩展了其漏洞管理能力。
这一由社区驱动的数据库,由 Armis 内部的 Armis Labs 单位提供支持,提供早期预警服务和资产情报,并不断通过众包情报进行更新,以增强用户对可能影响垂直行业的新兴漏洞的优先级识别能力,从而在这些问题被广泛利用之前及时采取措施加强防御。
“随着威胁行为者不断扩大网络攻击的规模和复杂度,采取积极主动的风险降低措施至关重要,”Izrael 表示。
“Armis 漏洞情报数据库是一个由安全社区为安全社区构建的重要且易获取的资源。它将漏洞数据转化为现实世界的影响,帮助企业迅速调整,并做出更明智的决策来管理网络威胁。”
Armis 表示,目前 58% 的网络攻击受害者仅在损害发生后进行被动响应,而近四分之一的 IT 决策者认为缺乏连续的漏洞评估是其安全运营中的一大缺陷,这使得更快速地应对问题变得势在必行。
好文章,需要你的鼓励
生成式AI在电商领域发展迅速,但真正的客户信任来自可靠的购物体验。数据显示近70%的在线购物者会放弃购物车,主要因为结账缓慢、隐藏费用等问题。AI基础设施工具正在解决这些信任危机,通过实时库存监控、动态结账优化和智能物流配送,帮助商家在售前、售中、售后各环节提升可靠性,最终将一次性买家转化为忠实客户。
泰国SCBX金融集团开发的DoTA-RAG系统通过动态路由和混合检索技术,成功解决了大规模知识库检索中速度与准确性难以兼得的难题。系统将1500万文档的搜索空间缩小92%,响应时间从100秒降至35秒,正确性评分提升96%,为企业级智能问答系统提供了实用的技术方案。
存储供应商Qumulo发布多租户架构Stratus,为每个租户提供独立的虚拟环境,通过加密技术和租户专用密钥管理系统实现隔离。该统一文件和对象存储软件支持本地、边缘、数据中心及AWS、Azure等云环境部署。Stratus采用加密隔离技术确保敏感数据安全,同时提供任务关键操作所需的灵活性和效率,帮助联邦和企业客户满足合规要求。
中科院和字节跳动联合开发了VGR视觉锚定推理系统,突破了传统AI只能粗略"看图"的局限。该系统能在推理过程中主动关注图片关键区域,像人类一样仔细观察细节后再得出结论。实验显示VGR在图表理解等任务上性能大幅提升,同时计算效率更高,代表了多模态AI"可视化推理"的重要进展。