漏洞与利用代码激增给安全团队带来压力

企业攻击面持续快速扩张，2025年上半年披露了超过2万个新漏洞，给本已压力重重的安全团队带来更大负担。

根据威胁情报公司Flashpoint的《全球威胁情报指数》研究，这些漏洞中近35%（6,992个）存在公开可用的利用代码。自2025年2月底以来，披露漏洞数量增加了两倍多，而利用代码数量也翻了一番。

风险优先修补：日益迫切的需求

Flashpoint认为，这些增长使得大多数组织不再可能对每个漏洞进行分类、修复或缓解，建议企业采用基于风险的修补框架。但CSO咨询的一些专家更进一步——认为需要对漏洞管理实践进行全面的运营改革。

Flashpoint首席执行官Josh Lefkowitz表示，披露漏洞和公开可用利用代码的激增反映了威胁格局的变化。

“攻击者在漏洞出现后几小时内就开始操作利用，通常远在防御者能够从公共来源获取可靠数据之前，“Lefkowitz告诉CSO。

暴露与响应之间不断扩大的差距使得安全团队依赖传统方法变得不切实际。根据Lefkowitz的说法，对策不是"更快地修补所有内容”，而是通过利用安全情报来"更智能地修补”。

关注可被利用的漏洞

第三方安全专家同意企业需要应用基于风险的修补框架。

“试图修补所有内容的组织正在打一场不可能赢的仗，“IEEE高级成员Shaila Rana说。“但好消息是，这种转变实际上正在催生更智能、更具战略性的方法。”

安全验证公司Picus Security的安全研究负责人Hüseyin Can Yüceel表示，尽管披露漏洞数量增长可能令人生畏，但只有部分漏洞会影响任何特定企业。

“您甚至可能不拥有存在漏洞的产品，或者已经部署了某些安全缓解措施来防止利用，“Yüceel解释说。“最重要的是决定什么对您相关且重要，这就是基于上下文的优先级排序很重要的原因。”

仅依赖CVE变得"不可持续”

Flashpoint警告，严重依赖公共漏洞情报来源（如通用漏洞披露CVE和国家漏洞数据库NVD）的安全团队处于严重劣势。CVE发布与NVD丰富之间的平均延迟现在长达数周甚至数月——造成了关键情报缺口。

“仅依赖CVE或国家漏洞数据库已经变得不可持续，“Flashpoint的Lefkowitz说。“延迟、不一致和持续的积压意味着关键情报通常在攻击者已经活跃之后才到达，使防御者对高风险暴露视而不见。”

第三方风险——再次出现

应用攻击面保护公司Wing Security首席执行官Galit Lubetzky Sharon表示，漏洞和利用代码激增只是问题的一部分。

“企业越来越依赖决定修补周期的第三方SaaS供应商——当这些供应商修补缓慢或未能披露时，客户会盲目继承风险，“Sharon说。

AI简化漏洞利用开发

应用安全公司Mend首席执行官Rami Sass表示，在过去两年中，漏洞发现与利用之间的时间从数周缩短到数天甚至数小时，部分原因是攻击者增加了对AI技术的滥用。

根据Sass的说法，日益动荡的威胁格局背后有三个主要驱动因素：

• 更好的漏洞发现工具，特别是在遗留代码中
• 饥渴且不断增长的漏洞利用商业市场
• AI工具使漏洞利用生产更加容易

暴露管理

云安全公司XM Cyber研究负责人Peled Eldan认为，漏洞和利用激增是"蔓延的云资产、快速迁移、部署失误、错误配置等的副产品”。

“虽然NVD仍然是网络安全的基础支柱，但SOC团队需要的远不止CVE ID和CVSS分数来有意义地降低风险，“Eldan说。“即使NVD丰富速度加快，也无法解决更大的问题：理解漏洞如何与其他暴露点连接以创建可利用的攻击路径。”

用弹簧高跷穿越雷区

云安全供应商Qualys欧洲、中东和非洲地区风险技术副总裁Ivan Milenkovic表示，任何组织能够或应该尝试修补每个漏洞的想法"始终是错误的”。

“披露的爆炸式增长和像NVD这样的公共信息源的明显不可靠性并没有创造新问题；它们只是暴露了传统方法的知识破产，“Milenkovic告诉CSO。“依赖CVSS分数和追逐CVE就像试图用弹簧高跷穿越雷区。”

Milenkovic建议，企业不应依赖基于风险的修补框架，而是需要基于持续威胁暴露管理计划的全面运营改革。