告别CVE焦虑！KEV：已知被利用漏洞才是真威胁!

在漏洞管理中，CVE和KEV代表了两种不同的治理思路，它们在漏洞优先级、修复策略和实际应用中有着显著差异。

CVE(Common Vulnerabilities and Exposures）漏洞是全球通用的漏洞目录，用于标准化记录所有公开披露的漏洞，然而它并未明确指示这些漏洞是否已被实际利用。由于漏洞种类繁多，企业通常难以评估哪些漏洞对其构成真正的安全威胁，容易导致修复优先级混乱。

现状：CVE漏洞评分基于CVSS评分体系，而传统基于CVSS评分和SLA的约定并不能反映是否存在真实风险。

例如：某漏洞CVSS 9.8分（高危），但未被任何攻击活动利用；另一漏洞CVSS 7.5分（中危），却已被APT组织大规模利用。若仅按漏洞评分优先级修复，企业会优先修复9.8分漏洞，却忽视真正威胁。

KEV（已知被利用漏洞目录）是由CISA发布的一份精简的漏洞清单，专门记录那些已被攻击者在实际攻击中利用的漏洞。与CVE不同，KEV专注于对企业安全构成直接威胁的漏洞，修复这些漏洞是企业的首要任务，能够帮助企业优先应对最紧急的安全威胁。CISA通常给联邦民事机构一周、两周或六个月的时间来修补漏洞，但到2022年春季，他们将截止日期调整为三周，直到最近几个月，又重新规定了一周的期限。

KEV漏洞清单直接表明了攻击者倾向于重复利用已验证有效的漏洞（如Exchange ProxyLogon、Log4j），而非追逐最新高危漏洞。微软2023年报告显示，Top 10已知被利用漏洞占全年攻击事件的62%。而当前现状是企业花费大量资源修复CVSS 9.0+的新漏洞，但攻击者仍通过“老旧但可靠”的KEV漏洞（如CVE-2021-44228）长驱直入。

CWE最危险已知被利用漏洞榜单

麻省理工学院（MITRE）收集、分析了2023年6月至2024年6月之间披露的3.1万个漏洞，并发布了2024年“最危险软件漏洞TOP 25”名单，重点关注了KEV目录中的漏洞类型，并建议企业审查这些漏洞。

想象一下：将CVE漏洞清单比作是“潜在病人”，而已知被利用清单（KEV）则是“重症患者”——这些漏洞已被武器化，急需立即处理！

KEV漏洞清单所传递的信号

• 聚焦真实攻击漏洞，避免无用功：

它打破了以往仅关注扫描器中漏洞评分来排列漏洞修复的优先级的模式，漏洞管理必须从“漏洞有什么风险”转向“漏洞正在造成什么伤害”（KEV+威胁情报），才能真正应对实战化攻击。因此我们认为新的漏洞管理模式应该升级为判断是否已被利用、业务影响和漏洞武器化情报来决策是否进行优先修复。

CVE漏洞目录包含所有已披露的漏洞，但并非每个漏洞都构成威胁。当前现状是企业习惯于按照SLA固定时限响应漏洞，未充分考虑漏洞的武器化状态和业务场景差异。

例：某企业要求所有CVSS 7.0+漏洞7天内修复，但攻击者可能利用某个CVSS 6.5分的漏洞在3天内攻破系统，SLA机制完全失效，充分说明了时间承诺式修复不等于防御有效性。相比之下，KEV目录专注于那些已经被攻击者利用的风险漏洞，能够提供精准的安全指引，帮助企业识别真正需要优先修复的漏洞，从而避免浪费资源在低风险的漏洞上。

如果认为修复KEV漏洞是在“救火”，那么修复CVE漏洞则是在“防火”，攻击者正在利用这些漏洞发起真实攻击，企业可能随时面临数据泄露、勒索软件、业务中断带来损失，所以漏洞的修复优先级自然的也就被提到最高了。KEV漏洞本质是攻击者筛选出的“高性价比武器”，天然带有易利用、影响广、绕过防御能力强的特点，因此我们认为修复这些漏洞能够有效帮助用户阻断真实攻击路径。

实践证明KEV漏洞目录所列漏洞的修复速度更快。CISA的统计数据，在超过100万个实体中，KEV目录中漏洞的修复中位数为174天，而非KEV漏洞的修复时间为621天，修复速度提高了3.5倍！这意味着，修复KEV目录中的漏洞能够更迅速地减少企业面临的安全风险。

为了更好地理解KEV目录中所列的漏洞对企业和行业的实际威胁，以下通过两个真实的漏洞事件，具体展示已知被利用的漏洞如何被攻击，给企业和用户带来重大的安全威胁。

2024年11月，某安全公司监测到银狐木马（Silver Fox Trojan）大规模传播，针对企事业单位管理人员、财务人员、销售人员及电商卖家发动精准攻击。攻击者伪造税务稽查类钓鱼页面，并通过聊天软件、电子邮件、短信等方式发送欺诈链接，诱骗用户点击，窃取敏感信息。

这一事件表明，攻击者正通过社会工程学手段结合已知利用漏洞实施精准攻击，企业若未能及时修复KEV目录中的相关漏洞，极可能成为受害者。

2024年5月，研究人员发现，攻击者仅通过车牌号即可在30秒内远程控制起亚汽车的多个关键功能，包括解锁、启动、鸣笛等，且不受车辆硬件配置和起亚连接服务订阅的限制。更严重的是，攻击者还能获取车主隐私信息，甚至添加自己为“隐形”第二用户，长期保持对车辆的控制权。

这一漏洞的出现，暴露了汽车行业在联网设备安全防护上的重大隐患。KEV目录能够帮助企业提前发现这些正在被积极利用的高危漏洞，防止类似安全风险扩散。

上述两个案例清晰地展示了KEV目录中漏洞的现实攻击威胁以及对企业、行业和用户的深远影响，对企业来说，KEV漏洞清单能识别出正在被积极利用的漏洞，这些漏洞不仅影响单一企业更可能引发行业级安全风险，甚至影响社会公共安全。

KEV（已知被利用漏洞）清单为企业提供了一个精准的漏洞修复优先级指南，帮助企业在面对众多漏洞时，能够专注于修复最紧迫、最具威胁的漏洞。在这一背景下，华顺信安攻击面管理方案与CISA提出的KEV漏洞理念高度契合，通过白帽汇安全研究院积累的KEV漏洞清单，并借助FOFA资产测绘能力和先进的EXP漏洞验证技术，华顺信安能够助力企业强化攻击面管理能力，提升整体安全防护水平。

FOFA精准定位KEV漏洞清单影响资产：FOFA作为全球领先的网络空间测绘平台，已积累超百亿的互联网资产数据，并整合了37万多种产品指纹。它能够精准定位全球范围内KEV漏洞清单中的受影响资产，为企业的漏洞管理提供关键情报，保障漏洞修复的精准性和高效性。

精准锁定风险资产实例：如CVE-2023-22515（Atlassian Confluence权限绕过漏洞），查询该漏洞影响的资产类型，发现全球约有392万台设备受威胁，FOFA能够迅速锁定这些受威胁资产。FOFA 能一键锁定哪些资产正处于风险中，并使用华顺信安多年积累的“已知被利用漏洞库”进行精准验证，直接把安全运营效率拉满！

FOFA定位风险资产示意图

“漏洞如同隐藏的暗礁，而靠谱的“漏洞验证框架”则是航海者的灯塔，照亮道路避免触礁。”

华顺信安采用网络空间测绘语言与可利用性漏洞检测技术结合的漏洞验证模式，不同于传统扫描工具的“地毯式轰炸”，它能够准确定位和验证漏洞是否可被实际利用。

FOEYE产品应用实例：利用全球网络空间测绘技术来锁定真正受威胁的资产，不用再手动对比漏洞和资产信息，系统自动分析哪个产品、最容易中招，不再浪费时间在无关紧要的漏洞上！

PoC先行EXP随后：用最真实的漏洞利用（华顺信安自研GOEXP漏洞利用验证框架，涵盖漏洞资产的空间语法表达，漏洞PoC与EXP代码的自动化关联处理，实战场景中能够有效提高漏洞验证的效率和准确度）验证技术来检验最真实的资产，漏洞到底能不能被攻击者利用是关键！

漏洞目录宛如企业的“作战地图”，我们深入剖析攻击者潜在渗透路径，揪出企业最易受攻击的薄弱点。

在实践过程中，华顺信安的FOBrain攻击面管理平台通过综合业务重要性、漏洞有无利用性（POC/EXP）、发现状态、是否暴露于互联网等多维度信息，来量身定制漏洞修复优先级策略。专注优先修复影响核心业务的风险漏洞，精准发力，拒绝无用功！

产品落地应用-漏洞优先级影响因子示意图

结语

华顺信安漏洞库建设思路契合KEV理念，凭借十年安全经验积累已打造了适配企业资产漏洞管理的“KEV漏洞库”，并融入到网络资产攻击面管理方案中。通过将全球资产测绘和实战化漏洞检测技术的深度结合，促使行业漏洞管理更集中、更易落地，构建起完整的漏洞监测、识别与治理体系。

KEV漏洞目录的高效修复并非偶然，而是企业从“漏洞管理”转向“威胁管理”的必然结果。当安全团队以攻击者视角（而非合规视角）审视漏洞时，资源分配、工具选择和响应逻辑都会发生根本性转变。

选择KEV，告别CVE的焦虑，让您的安全运营更精准、更高效，构筑稳固的安全防线。

你遇到过因忽视 KEV 漏洞而被攻击的案例吗？欢迎留言分享你的经验！