1 什么是CISA KEV

随着软件复杂性的增加，每年披露的CVE漏洞数量呈指数级增长。根据历史漏洞数据统计，每年数以万计的新增漏洞中，只有不到5%会被攻击者在真实环境中真正利用。

然而，传统的以漏洞级别作为优先级排序的方法，导致安全团队花费大量时间修补“高危但无实际威胁”的漏洞，而忽视了那些“低危但正被勒索软件或高级持续性威胁（APT）组织大规模利用”的漏洞。

而组织机构的漏洞修补资源、修补时间窗口是有限的。如何把钢用在刀刃上成为一个现实的命题。

1.1 KEV的背景及初衷：从理论威胁向实战防御的转移

KEV（Known Exploited Vulnerabilities catalog，已知被积极利用漏洞列表）是一个合规漏洞目录。

其初衷是从已公布的40万+CVE漏洞以及将要公布的CVE漏洞中筛选出一个基于证据的、正在被积极利用的漏洞清单，强制要求联邦机构在严格的时间框架内完成修补，从而直接切断恶意行为者最常用的攻击路径 。迫使组织（最初是联邦机构）停止仅关注“潜在”严重性，转而关注“真实”威胁。减少攻击者的“机会窗口”，通过明确哪些漏洞正在被利用，帮助防御者在资源有限的情况下保护最关键的资产。

2021年11月，美国国土安全部下属的网络安全与基础设施安全局CISA发布了强制性业务指令（BOD 22-01）。正式确立了KEV作为联邦网络安全治理的核心工具。这一转变意味着漏洞管理不再仅仅是满足技术合规，而是变成了一种动态的、针对威胁的实战型防御策略。

1.2 KEV的运作机制

CISA作为美国国家网络防御机构，是KEV目录的唯一法定维护者。目录维护是一项涉及全球情报融合、跨部门协作和深度技术分析的复杂系统工程。其运作机制如下：

• 情报协同：CISA通过“联合网络防御协作体”（JCDC）与政府、行业以及国际合作伙伴紧密连接，汇聚来自国家安全局（NSA）、联邦调查局（FBI）以及安全公司（如 Google Threat Analysis Group、Mandiant 等）等安全厂商、独立研究人员、反勒索软件倡议组织以及盟国政府（如英国NCSC、澳大利亚ACSC）的情报，确保威胁信息的获取具有前瞻性和覆盖面；

• 证据研判：在加入 KEV 前，CISA 负责验证“在野利用”的真实性，通过检查恶意代码样本、受害者遥测数据和攻击时间轴，剔除仅存在于实验室或安全演示中的理论PoC。同时，漏洞必须有现成的修复方案（如补丁）或供应商提供的详细缓解指南。如果漏洞没有补丁，CISA 通常不会将其列入KEV，以免造成恐慌却束手无策；

• 设立合规红线：根据BOD 22-01，对于受其管辖的机构，CISA 会为每个 KEV 漏洞设定一个具体的修复截止日期（通常是 21 天，紧急情况更短），并要求联邦民事机构通过持续诊断与缓解（CDM）仪表板自动报告其修复进度。这种强制性的报告机制使得CISA能够实时掌握整个联邦网络的风险暴露情况，并在发现重大合规缺口时介入干预。

1.3 CISA KEV 的适用对象和范围

KEV目录的法律效力呈现出明显的内外有别特征。其直接的法定约束对象是所有联邦民事行政部门（FCEB）。

1.3.1 联邦层面的法定范围：强制适用对象

联邦民事行政部门（FCEB）：依照BOD 22-01的规定，所有美国联邦机构必须对受影响的系统执行以下操作：在规定的时间内应用厂商提供的补丁；如果没有补丁，则应用临时缓解措施或彻底移除相关产品；对于由于各种原因无法在截止日期前修复且不能移除的资产，机构必须向CISA提交例外申请并详细说明补偿性控制措施。

该指令的适用范围包括所有在联邦信息系统上运行的软件和硬件，无论这些系统是位于机构内部还是由第三方托管。

1.3.2 联邦外的自愿扩展范围：推荐适用对象

虽然BOD 22-01在法律上仅适用于联邦民事机构，但CISA在各种场合强烈敦促所有组织——包括州、地方、部落和领地（SLTT）政府以及私营部门关键基础设施运营商——优先修补KEV目录中的漏洞。

对于这些非联邦对象，KEV目录的作用已超越了合规性，转化为一种高效的风险管理基准。对于资源有限的中小型组织或管理着数百万资产的大型跨国企业，KEV目录提供了一个“现成的”威胁情报过滤器，帮助他们从庞大的CVE库中识别出那些真正正在危害业务连续性的风险点。

• 私营企业与国际组织：虽然没有法律强制力，但全球大型企业、关键基础设施运营商（如能源、医疗）已普遍将 KEV 作为其漏洞管理方案的核心输入。

• 安全厂商：漏洞扫描工具、威胁情报平台普遍集成了 KEV 数据，作为风险评分的重要加权因子。

1.4 KEV的体现的价值

1.4.1 国家合规管理的行政工具

在启动初期，KEV目录的主要作用是确立基于证据的修补权威。当时，CISA面临的主要挑战是清理长期积累的历史漏洞积压。在最初发布的311个漏洞中，许多是几年前甚至十年前就已经存在的漏洞，但它们由于各种原因一直残留在联邦网络中。这一阶段的作用是强制性地将资源导向那些最陈旧但依然危险的漏洞。通过这一行动，联邦机构暴露45天以上的已知漏洞比例下降了72%，这证明了集中式、基于证据的指令的有效性。

在不断演进的威胁环境中，国家级对手和网络犯罪组织通过自动化手段快速扫描并利用已知漏洞，其速度往往超过了传统合规驱动的修复周期。BOD 22-01通过将修补期限缩短至两周（针对新漏洞），强迫机构建立更加灵活和响应迅速的漏洞管理流程。

1.4.2 与勒索软件挂钩

CISA后来推出了“勒索软件漏洞警告试点计划”（RVWP），CISA开始在KEV目录中添加“注释”字段，利用KEV数据主动警告可能受到勒索软件攻击的组织。通过标记漏洞是否与勒索软件活动相关，从而为特定行业（如医疗保健）提供更具针对性的优先级建议。

1.4.3 从“补丁列表”到“供应链要求”

KEV已经开始影响软件供应链，CISA利用KEV目录作为抓手，通过“安全设计”（Secure by Design）倡议向软件制造商施压。当某个软件厂商的产品频繁出现在KEV目录中，CISA不再仅仅建议用户修补，而是开始要求厂商从设计层面消除整个类别的漏洞（如通过采用内存安全语言来减少内存破坏漏洞），从而将安全责任从最终用户向上游转移。

KEV现在被用作衡量软件制造商“安全性”的硬性指标。根据最新的《产品安全不良实践指南》，如果一家软件公司在明知其组件包含KEV漏洞的情况下仍发布产品，或者未能及时（通常为30天内）为涉及KEV的漏洞发布补丁，将被视为极大的安全风险。这标志着KEV的作用已从后端防御前移至前端设计。

1.4.4 安全智库

随着该目录的成熟，其作用开始向横向扩展。KEV数据开始被大规模集成到漏洞管理生态中。CISA开始推广KEV与“相关方特定漏洞分类”（SSVC）和“利用预测评分系统”（EPSS）的结合使用。KEV目录不再被视为一个独立的列表，而是成为多维风险评估的一个核心变量。它为EPSS等预测模型提供了宝贵的“在野”真实数据，提高了整个行业预测漏洞武器化可能性的准确率。

CISA KEV从2021年至今已成为全球防御者、安全分析师和政策制定者的首选参考资料。CISA通过公开提供机器可读格式（如JSON、CSV）的KEV订阅源，极大地推动了安全行业的标准化。目前，几乎所有主流的漏洞扫描器、安全编排（SOAR）和治理风险合规（GRC）工具都已经原生集成了KEV数据，这使得即使是不受BOD 22-01约束的企业也能轻松采用这一标准。

2 KEV漏洞数据分析

2.1 KEV目录数据统计

2.1.1 总量及变化趋势

截至2025年12月底，CISA KEV目录已收录1,484个漏洞，从2021年KEV成立最初的311个漏洞起步，收录漏洞数量呈现出爆发式建库 -> 稳步增长 -> 聚焦高危的态势。

如下图所示。尽管每年整体CVE漏洞披露量巨大，但最终能进入KEV目录的仅是其中具有真实杀伤力的“精锐”部分。

从KEV目录每年漏洞数据的收录趋势来看：

• 存量清理接近尾声：大部分历史上被广泛利用的“名洞”已被收录完毕，现在KEV的增长主要由当年或近两年新发现的漏洞驱动。

• 防御侧的压力转移： 防御重心从“清理十年陈旧债务”逐渐转移到“应对突发高危0-day/N-day”。2025 年的“再加速”现象则预示着攻击者利用新漏洞的速度已大幅超越防御者的响应周期。

• 攻击者武器库的迭代：攻击者不再盲目利用所有漏洞，而是更倾向于利用那些利用成本低、稳定性高的漏洞（RCE为主）。这些数据揭示了攻击者在武器库构建上的最新偏好，即优先选择那些能够直接导致系统权限丧失或大规模数据窃取的路径。

• 2025年新增245个漏洞，这一数字较2023-2024年的平均水平增长了约30%，这一反弹趋势引起了安全界的广泛警觉。其中，94个被录入的漏洞实际上是2024年或更早之前的旧漏洞，这表明攻击者正在重新挖掘被防御者忽略的资产角落。

2.1.2 核心维度统计概览

2.2 0-day漏洞与时间差分析

在2023-2025年间，0-day漏洞（在补丁发布前已被利用）在KEV新增条目中的占比显著提升，部分季度甚至超过40%。2025年KEV目录的一个核心特征是0-day/1-day漏洞占比的激增（达到 32.1%）。这意味着“漏洞发现”到“大规模利用”的时间差几乎被抹平。

特点主要有：

• 负时间差 (Negative Delta)：大量案例显示 T0(在野利用时间) < T1(厂商发现/补丁发布时间)，即攻击者领先厂商数周甚至数月（如MoveIT Transfer事件）。

• 社区领先官方：往往是社区或第三方威胁情报公司先曝光了“野外在利用”，CISA经过验证后才收录KEV。这个滞后期通常在1-3天，但在极端情况下可能更长。

• 隐蔽利用期变长：高级威胁行为者（APT）在利用0-day时极其克制，导致从“首次利用”到“被公众发现”的时间间隔拉大，给取证和溯源带来了巨大挑战。

在过去，企业尚有30天左右的补丁窗口期。而在2025年，漏洞公布后的24小时内，全球扫描活动就会达到峰值。这种速度竞争直接导致了传统基于静态扫描的漏洞管理模式彻底失效，迫使安全决策者转向动态的“暴露面管理”。

2.3 KEV勒索软件漏洞分析

在KEV目录的所有漏洞中，勒索软件相关漏洞占比约为20% - 25%。虽然绝对数量不如普适性漏洞多，但其利用率和复用率极高。

其特点为：

• “首选入口”效应：勒索软件组织（如LockBit、Cl0p、BlackCat等）不仅依赖钓鱼邮件，越来越依赖边界设备（VPN、防火墙）和对外服务（WebLogic、Exchange）的RCE漏洞作为初始访问（Initial Access）手段；

• 漏洞武器化速度：勒索软件团伙拥有最快的“漏洞武器化”能力。一旦某个漏洞被加入KEV且被标记为勒索软件利用，通常意味着自动化扫描脚本已经遍布全网；

• 老旧漏洞的温床：勒索软件非常喜欢利用那些企业容易忽视的旧漏洞（如2018年、2019年的VPN漏洞），因为内网资产往往修补不及时。

2024年和2025年明确标注为勒索软件利用的新增漏洞数量均为24个，但其影响力不可同日而语。2025年的勒索软件攻击更加倾向于利用数据集成平台（如 Oracle E-Business Suite）和核心网络设备（如Citrix NetScaler），旨在实现“一穴破千家”的规模化勒索效果。

2.4 KEV中持续活跃的老旧漏洞

尽管0-day漏洞博取了最多的眼球，但KEV目录中约43%的利用行为涉及 2021年之前的“老旧漏洞”，甚至包括2007年的Excel 漏洞（CVE-2007-0671）和2009年的PowerPoint漏洞（CVE-2009-0556） 8。

在1,484个KEV漏洞中，历史悠久的旧漏洞表现出了极强的生命力，这一现象在2025年尤为突出。2025年新增的245漏洞包括了94个旧漏洞，比上一年增长了34%。

为什么KEV会有很多老旧漏洞？

2.4.1 长尾效应与影子资产

许多组织并不清楚自己拥有哪些资产，导致大量未管理的服务器、IoT设备长期运行着含有漏洞的旧版本软件。

老旧漏洞被重新利用，通常意味着资产盲区曝光，企业内部存在未发现的影子资产或未彻底淘汰的遗留系统。

旧漏洞频繁出现在KEV目录中，实际上在向企业管理层发出警告：如果不主动清偿技术债，攻击者将通过利用这些旧漏洞来强制企业通过“被动破产”或“重大业务中断”的方式来清偿。 2025年新增的2009年公布的PowerPoint漏洞 (CVE-2009-0556) 正是一个例证，提醒组织即使在云时代，陈旧的文件格式和老旧的终端软件依然是使千里之堤崩溃的“蚁穴”。

老旧漏洞持续活跃的现实意义在于提醒管理者：漏洞管理不应只是追新，而应是对资产全生命周期的彻底治理。如果一个15年前的漏洞依然能打穿你的防线，那么任何最先进的防御手段都是空中楼阁。

2.4.2 供应链嵌套

老旧漏洞（如Log4j、Struts2、OpenSSL等）往往深埋在商业软件的底层组件中，厂商不排查并更新底层库，用户就无法修复。

2.4.3 利用成本极低

开发一个0-day漏洞利用工具成本极高，但利用一个已知的、公开的旧漏洞只需使用现成的脚本。对于老旧漏洞，GitHub上往往存在成熟、一键式的EXP（利用代码），对于脚本小子和自动化僵尸网络来说是完美的工具。

攻击者倾向于寻找“悬挂果实”，即那些因业务连续性不敢打补丁并重启、或因运维疏忽而被遗忘的资产。

2.4.4 特定行业依赖

工业控制系统（ICS）、医疗设备等领域，系统更新周期长达数年甚至十年，被迫带病运行。

目录中最古老的漏洞CVE-2002-0367（Windows NT/2000 权限提升）至今仍被勒索软件集团利用。这并非攻击者技术退步，而是因为在关键基础设施（如制造业、能源站）中，大量的遗留系统由于依赖特定的工业软件而无法升级。这些“数字活化石”系统构成了脆弱底层。攻击者通过利用这些旧漏洞，可以实现跨越物理隔离的攻击效果。

2.5 KEV中漏洞级别与攻击链分析

90%以上的KEV漏洞CVSS评分在7.0以上。近年来中低危漏洞进入目录数量有所上升。通常是因为它们被用于攻击链的组合。攻击链漏洞是指单个漏洞可能威胁有限，但与其他漏洞配合时可产生“1+1>2”的爆炸性效果。例如：

• 认证绕过+ 远程代码执行：这是最致命的组合，攻击者无需凭证即可接管系统（如Ivanti、Palo Alto Networks漏洞）。

• RCE+ 本地提权：攻击者先进入系统，再利用内核漏洞（如Linux Kernel或Windows Installer漏洞）提升至Root/System权限。

KEV列表中的典型的漏洞攻击链条如下：

这些漏洞链条通常具备“跨层级”特性。第一个漏洞负责“进入”，第二个漏洞负责“深耕”（权限提升），第三个漏洞负责“持久化”。使得仅仅修复其中一个漏洞是不够的，防御者必须理解完整的攻击路径。

2.6 KEV漏洞影响厂商与产品分布分析

从厂商分布来看，KEV目录呈现出明显的高度集中趋势。微软、苹果、思科等巨头虽然在安全投入上居于全球前列，但由于其庞大的装机量和复杂的生态系统，依然是攻击者的首选目标。

（1） 微软与苹果：高复杂性带来的代价

Microsoft的Windows系统和Apple的内核由于代码量巨大且历史包袱重，漏洞数量稳居前两名。反映了这两家厂商积极的披露机制及全球安全研究员的广泛关注。

其现实意义在于：即便在最主流、投资最高的平台上，漏洞也是不可避免的必然，漏洞利用并非由于代码写得烂，而是由于“暴露面”和“利用价值”决定的。组织应建立“假定已受损”的防御理念。

（2） 网络安全厂商风险集中

这些厂商的产品通常部署在网络最前沿。这些产品曾被认为是安全堡垒，现在却成了攻击者的“隐形披风”。促使企业转向“零信任”架构，不再单纯依赖网络物理边界，而是基于身份和实时上下文进行访问控制。

其现实意义在于：

• “安全边缘”的坍塌，网络边界设备从保护伞变成了最大的后门；

• 单点溃败风险：如Ivanti或Citrix的一个漏洞往往能导致全球数千家机构被同时渗透。

（3）边界设备与供应链

2025年成为“边界设备受难年”。 2025 数据显示，网络边缘设备漏洞达到77 个，主要集中在VPN、防火墙和负载均衡器。ASUS Live Update等供应链漏洞的出现，标志着攻击者已成功渗透到受信任的软件分发环节。

（4）攻击面重心的转移：从终端到边界

早期的KEV目录中，微软Office、Adobe Reader等客户端软件漏洞占据半壁江山。2024年至2025年的趋势表明，攻击者的准星已锁定在网络边界。终端设备（笔记本电脑等）由于EDR普及和混合办公模式，变得难以维持稳定的控制权。位于网络入口处的VPN、防火墙和网关设备，由于往往不具备现代防护代理，且一旦攻破即可获得内网全流量视野，已成为最高价值目标。

CISA KEV目录是全球网络安全向“实战化”转型的缩影。从统计数据可以看出，攻击者正在以前所未有的速度收割那些处于网络边缘、运行老旧系统或使用通用供应链框架的目标。单纯依赖CVSS评分后漏洞级别已无法在现代威胁环境中生存。

2.7 EOL产品漏洞比例上升

随着技术更迭，EOL（已结束产品生命周期，厂家不再销售和维护）产品漏洞在KEV中的重要性不降反升。KEV目录中标记为EOL的产品漏洞约占总量的10% - 15%。例如D-Link旧款路由器、Windows 7/Server 2008、旧版 Adobe Flash等。

2024-2025 年间，大量针对已停产D-Link路由器和NAS设备的漏洞被加入，主要原因是这些设备在中小企业及家庭网络中大量残留，成为僵尸网络和勒索软件的温床。

其主要威胁和问题有：

• 无补丁可打：EOL产品最大的威胁在于厂商不再发布安全补丁。虽然CISA要求联邦机构“断网”或“退役”这些设备，但在私营企业和公网环境中，替换成本高昂导致这些设备长期在线。

• 僵尸网络的温床：EOL的SOHO路由器和摄像头是僵尸网络（Botnet）最喜欢的宿主，用于发起DDoS攻击或作为流量跳板。

2.8 漏洞修复窗口期渐渐消失

过去，行业标准修复周期通常是30天（高危）甚至90天。CISA KEV强制要求联邦民事行政机构（FCEB）在14天或21天内修复漏洞。

但在2025年，仅仅依靠CISA的Dead Line已不足够。诸如Meta React Server Components (CVE-2025-55182) 这种高风险RCE漏洞，其从加入目录到要求的修复截止日期仅为7天。这要求企业的安全响应流程必须从“周”级进化到“天”级甚至“小时”级。

2025年，约28.3%的漏洞在公布后24小时内即显示出被利用迹象。从漏洞披露到大规模扫描利用的时间差（Time-to-Exploit）已经缩短至24-48小时。

修复窗口期实际上已经消失。传统的“按月打补丁”策略已失效，企业必须转向“基于威胁情报的实时缓解”，即一旦漏洞进入KEV，必须立即采取行动（打补丁或下线），不能等待固定的维护窗口。

3 结语

CISA KEV目录的成立与演进，代表了国家级网络安全治理从静态合规向动态对抗的深刻转型。它通过确立“真实世界利用”这一核心准则，不仅理顺了美国联邦政府的防御序列，更确立了一种新的安全叙事：安全不再是修补所有的漏洞，而是修补那些真正危险的漏洞。

对于网络安全专业人员而言，理解KEV目录背后的治理逻辑、准入标准以及它与软件制造上游的联动，是构建安全计划的基础。如何既满足合规监管要求，又能够在日益复杂的数字战场上保持生存。是面临的重大考题。