对CISA已知被利用漏洞（KEV）目录治理实践的分析揭示实战化漏洞响应的关键范式转变

说明：本文基于美国网络安全与基础设施安全局（CISA）发布的强制性业务指令BOD 22-01及近期KEV目录更新案例整理，非源自BleepingComputer报道

对CISA已知被利用漏洞（KEV）目录的持续跟踪与实战复盘表明：漏洞管理正经历从‘理论风险评估’向‘证据驱动响应’的根本性跃迁

KEV并非海量修复日志的统计产物，而是由CISA联合NSA、FBI、Google Threat Analysis Group、Mandiant及盟国NCSC等多方情报源，经严格验证‘在野利用证据’（如恶意样本、受害者遥测、攻击时间轴）后筛选出的高置信度漏洞清单；每个条目均要求具备可落地的修复方案（补丁或缓解指南），并强制联邦机构在明确时限内（通常21天）完成修补

真实事件印证其价值——例如CVE-2024-36401（GeoServer远程代码执行漏洞）在披露11天内即遭利用，而该漏洞被纳入KEV后仍未及时修复，直接导致入侵发生；这凸显的并非‘人工响应的瓶颈’，而是组织在落实KEV强制要求、集成自动化资产管理与EDR告警审查等闭环能力上的差距

当前KEV目录虽仅收录数十个漏洞（如2026年2月新增SolarWinds WHD漏洞CVE-2025-40551，3月新增苹果WebKit及Craft CMS等5个漏洞），但其战略意义在于锚定最紧迫的攻击面，迫使防御资源聚焦于已被证实的杀伤链环节，从而将漏洞管理升维为动态、可度量、可问责的国家网络韧性工程

本文来源：BleepingComputer