什么是已知被利用漏洞（KEV）？

已知已利用漏洞 (KEV) 是指已被确认在实际攻击中被利用的、列入 CVE 安全漏洞清单的安全缺陷。 CISA 维护官方 KEV 目录，并通过约束性操作指令 22-01 规定补丁截止日期。

KEV 与 CVE 和 EPSS 有何不同？

CVE 是已披露漏洞的唯一标识符，CVSS 衡量其潜在严重性，EPSS 预测漏洞被利用的可能性。KEV 更进一步，确认漏洞是否已被实际利用，因此是修复优先级最高的漏洞。

为什么已知被利用漏洞对开发人员很重要？ CIS操作系统？

关键事件报告反映了攻击者的真实行为，并且通常会影响第三方组件和 CI/CD 依赖关系。忽视这些依赖关系可能导致立即遭受攻击。优先处理关键事件漏洞 (KEV) 有助于安全团队将资源集中在那些正被积极攻击的漏洞上。

团队应该如何跟踪和确定已知被利用漏洞的优先级？

团队应每日同步 CISA 的关键事件漏洞 (KEV) 目录，标记匹配的发现，并将其与 EPSS 和可达性分析关联起来。在 1-3 天内修复面向互联网的关键事件漏洞，在一周内修复内部关键事件漏洞，并持续监控未使用的代码。

Xygeni 如何实现 KEV 检测和修复的自动化？

Xygeni 将检测到的 CVE 与 CISKEV 列表适用 guardrails 阻止高风险合并，并自动生成安全措施 pull requests 用于修复问题。它还会检查是否存在重大变更，并维护审计日志，以确保及时、可追溯的补救措施。

已知已被利用的漏洞的例子是什么？

例如，CVE-2024-1086（Linux nf_tables）漏洞曾被勒索软件组织利用，而CVE-2023-4966（CitrixBleed）漏洞则导致了全球紧急补丁的发布。这两个漏洞均已添加到…… CISKEV目录旨在强制立即进行补救。

已知已被利用的漏洞：首先应该修复什么

KEV、CVE 和 EPSS

安全团队经常混淆这些相关术语。理解它们之间的区别对于准确评估风险至关重要。

缩写	来源	目的
CVE	NVD	已披露漏洞的唯一标识符。
CVSS	NVD / FIRST	衡量理论严重性（影响+可利用性）。
每股收益	FIRST网站	预测30天内发生剥削的概率。
KEV	CISA	确认实际利用情况并设定补丁修复期限。

这些系统共同构成了一个风险层级：CVSS 显示风险可能有多严重，EPSS 显示风险发生的可能性有多大，而已知利用漏洞则显示实际发生的情况。

进一步阅读： CVSS评分：CVSS评分机制以及 EPSS 与 CVSS：有什么区别？

为什么KEV对开发者很重要？ CISOs

首先，KEVs 突出 攻击者实时行为其次，它们通常涉及 第三方组件框架、容器或 CI/CD 团队假定这些依赖关系是安全的。因此, 延迟修复可能会在你的构建和交付基础设施内部打开横向移动路径。

最近的例子：

CVE-2024-1086（Linux nf_tables）： 已添加到 KEV 目录；2024 年中期被勒索软件组织利用。
CVE-2023-4966（CitrixBleed）： 漏洞被披露后数日内即得到确认；迫使全球范围内进行紧急补丁修复。

带走： KEV并非潜在威胁，它们是 要积极。 因此，应将所有已知被利用的漏洞视为一个独立的漏洞。 “立即修复”除非可达性分析证明并非如此。

如何跟踪和确定已知被利用漏洞的优先级

首先，请查看官方信息。 CIS已知被利用漏洞目录 并在安全扫描器中标记任何匹配项。然后，使用此信息来确定哪些修复需要优先进行。此外，结合 已知被利用的漏洞 - EPSS评分 减少干扰，专注于真正影响代码运行的弱点。

分步工作流程：

同步数据： 从此处获取最新更新 CIS每天整理一份清单，并将其与其他漏洞信息源结合起来。
标签搜索结果： 当 ID 与以下 ID 匹配时，将每项发现标记为“已知已利用”： CIS一个列表。
检查可达性： 查看存在漏洞的代码是否真的在您的应用程序或构建中运行。 pipeline.
评估可利用性： 绝大部分储备使用 每股收益 找出可能很快会成为关注点的其他问题。
申请截止日期：
- 互联网漏洞：1-3天内修复。
- 内部问题：一周内解决。
- 未使用的代码：请密切关注并经常进行验证。
自动回复： 系统会阻止不安全的合并，并开启安全的合并操作。 pull requests并记录异常情况，以确保团队不会遗漏任何内容。

从意识觉醒到实际行动：使用 Xygeni 实现修复自动化

实际上，手动处理所有这些工作是不现实的。因此，西吉尼将已知已利用漏洞直接连接到您的 CI/CD 工作流程，将警报转化为实际的、引导式的操作。

智能关联： 检测到针对以下对象的 CVE： CIS列出并重点介绍内部“立即修复”的问题 pull requests.
可达性 + 可利用性： 确认易受攻击的代码路径是否运行并链接 每股收益 预数据cise 优先级。
Guardrails: 当被利用的漏洞影响到敏感文件或服务时，阻止有风险的合并或部署。
自动修复： 打开安全的 PR，检查可能存在的破坏性更改，并在合并前运行测试。
审核日志： 清晰记录修复内容和修复时间，支持内部安全目标。

简而言之，威胁情报显示了哪些东西正在遭受攻击，Xygeni 确保快速、安全、自动地修复它。

示例防护策略（YAML）

guardrail:
  id: "kev-protection"
  description: "Block merges if known exploited vulnerability detected"
  conditions:
    - match: vulnerability.kev == true
    - match: reachability == "reachable"
  actions:
    - block: merge
    - notify: ["slack:#security-alerts", "jira:SEC-OPS"]
    - create_pr: true
  sla:
    critical: 72h
    high: 7d

这条规则强制执行 没有合并 对于已知的已利用漏洞，系统会通知相关渠道，并自动创建修复 PR，所有操作均在您的范围内完成。 CI/CD guardrails.

迷你案例：防止KEV部署

第1周： 一个新的开源库通过了 SAST 但包含 CVE-2023-4966。
第2周： Xygeni 的 KEV 相关性在最新研究中检测到了它 CIS最新消息。
第3周： Guardrails 停止合并；自动修复功能会提供一个已修补的版本。

结果： 该团队避免了发货 已知的被利用漏洞 到生产和修复红色 pipeline 在同一迭代周期内的流程。

关于作者

作者法蒂玛 Said，专注于应用安全的内容营销经理 Xygeni 安全.
Fátima创作面向开发者、基于研究的应用安全内容， ASPM她精通DevSecOps，能够将复杂的技术概念转化为清晰、可操作的见解，从而将网络安全创新与业务影响联系起来。

已知已被利用的漏洞：首先应该修复什么

目录

必读文章

最新感兴趣的帖子

已知已被利用的漏洞（KEV）有哪些？

KEV、CVE 和 EPSS

为什么KEV对开发者很重要？ CISOs

如何跟踪和确定已知被利用漏洞的优先级

从意识觉醒到实际行动：使用 Xygeni 实现修复自动化

示例防护策略（YAML）

迷你案例：防止KEV部署

关于作者

保护您的软件开发和交付

使用 Xygeni 产品套件

产品中心

相关资源

关于我们

法律