您真的需要修复这个关键缺陷吗？

快速阅读: 《ITProPortal》消息，Ox Security报告称，过度修补CISA KEV漏洞目录中的高危漏洞可能浪费资源，建议根据具体环境评估实际风险。研究人员强调，不应机械遵循KEV目录，而需结合上下文分析漏洞利用可能性及影响。该报告呼吁提供更详细的上下文信息以优化漏洞管理。

根据Ox Security的一份报告，组织不需要急切地修补美国网络安全和基础设施安全局（CISA）已知利用漏洞（KEV）目录中列出的高危安全漏洞。通过对超过200个独立环境进行检查后，研究人员得出结论，全面修补所有漏洞的做法可能会浪费宝贵的安全资源。这是因为在一个云计算容器环境中，许多漏洞实际上不具备现实世界的利用风险。

成立于2021年的CISA KEV目录已成为防御者的重要参考资源，但不应将其视为必须严格遵循的任务清单。Ox Security指出：“尽管KEV是一个很好的集中注意力工具，但它涵盖了从个人手机到网络摄像头再到云计算容器的各种平台攻击，并未区分它们的实际相关性。”

研究人员强调，按照某些合规规定要求的同等紧急程度来处理所有KEV漏洞，而不顾及具体环境背景，不仅会加重已经超负荷的安全团队的工作负担，还会分散资源，使其偏离真正重要的问题。

在Ox Security研究的10个最近的CVE（常见漏洞与暴露）中，有6个最初是在安卓设备上报告的，需要特定于安卓环境才能复现，或者需要物理接触USB接口或终端访问才能利用。虽然其中有两个适用于大多数基于Linux内核的操作系统，但要成功利用它们，通常需要结合其他漏洞共同作用。订阅ITPro每日新闻简报今日注册即可免费获取我们《未来聚焦2025》报告的副本——这是基于700多位高管提供的关于人工智能、网络安全及其他IT挑战的权威指导。请用新闻和优惠联系我来自其他Future品牌，请允许我们代表可信赖的合作伙伴或赞助商向您发送邮件。

另一个CVE最初是在苹果Safari浏览器中被发现，涉及Cookie管理逻辑的问题——这对云计算容器化环境来说并不构成威胁。类似地，三个最初在谷歌Chrome浏览器使用的库中被发现的问题——对于云计算容器而言也无关紧要，因为大多数情况下不会使用这些库来处理和呈现内容。

Ox Security建议组织采用务实的态度，在匆忙修补漏洞之前仔细评估上下文。在将KEV警报视为关键之前，安全团队应查看最初报告CVE时的上下文并与自身环境对比；同时搜索漏洞的概念验证和已知被利用的实例——如果没有相关记录，那么攻击者自行开发利用手段的可能性较低。此外，研究人员指出，团队还应评估漏洞是否可能允许访问敏感信息，若答案为是，则应优先处理。

“这种额外的上下文信息将帮助安全团队制定更精准高效的流程来应对环境中的关键漏洞，减少误报疲劳并集中精力解决最关键的问题。”该公司表示。

该报告还呼吁CISA和其他漏洞监控组织提供更多帮助，例如包含上下文信息以协助安全团队快速评估每个漏洞对特定环境的重要性。

更多来自ITPro的内容：
– 欧盟刚刚推出了自己的漏洞数据库。
– MITRE的近失：安全和漏洞管理的经验教训。
– 企业在漏洞修补方面正在失去重点。

(以上内容均由Ai生成)