CVSS评分机制会把企业漏洞管理引入歧途吗

发布时间：2022-09-03 09:25 所属栏目：15 来源：互联网

导读：

导读：CVSS的漏洞评价机制 CVSS（Common Vulnerability Scoring System）是由FIRST（事件响应与安全团队论坛）创建，并由美国国家漏洞库（NVD）保持数据日常维护更新的一套漏洞评价标准体系，主要目的是帮助行业衡量漏洞危害的严重程度，并指导行业进行漏洞修复。

　　CVSS的漏洞评价机制

　　CVSS（Common Vulnerability Scoring System）是由FIRST（事件响应与安全团队论坛）创建，并由美国国家漏洞库（NVD）保持数据日常维护更新的一套漏洞评价标准体系，主要目的是帮助行业衡量漏洞危害的严重程度，并指导行业进行漏洞修复。应用CVSS评分机制对新安全漏洞进行危害性评价时，通常会从基础维度（Base Metric Group）、生命周期维度(Temporal Metric Group)和环境维度（Environmental Metric Group）进行评估，并生成一个0到10分之间的评分值来评估漏洞的严重程度。

　　基础维度评价指的是一个漏洞的内在特征，主要评估漏洞本身固有的一些特点及这些特点可能造成的影响。该特征不会随时间和用户环境而改变。基础评价是CVSS评分里最重要的一个指标，我们一般看到的CVSS评分都是指漏洞的基础评价得分；

　　不可否认，CVSS评价指标在帮助安全人员更多了解新漏洞的详情信息时，产生了很多积极的价值和帮助。但需要强调的是，CVSS评分只是一个指标，无法取代漏洞管理实践中的应用风险分析。而研究人员却发现，目前很多企业过于关注CVSS漏洞评价与披露情况，并将其评价分值作为了制定漏洞修补的优先级和行动计划的首要标准。这就会给漏洞管理工作带来很大的风险和误导，因为漏洞理论上的严重程度与它能给组织带来的实际风险往往并不匹配。

　　报告研究人员认为，相比于漏洞的CVSS评分值，其实漏洞的可利用性指标更应该在企业漏洞管理工作中得到关注和体现。安全团队应该优先考虑业务需求，实际减少数字化业务开展中的安全风险为目标，而不是盯着脱离实际情况的漏洞评价分数。

　　对安全管理团队而言，制定漏洞悬赏计划和开展定期的渗透测试可以提高漏洞管理的有效性。研究人员指出，在实际应用中，危害性最强的漏洞通常会具有三个特征：可以被远程利用、有公开漏洞利用代码，以及有切实可行的解决方案（比如补丁或升级）。这些漏洞应该列在排查清单的首位，因为它们构成的实际风险最大，但是往往又最容易修复。一旦解决了这些漏洞，安全团队就可以使用基于风险的方法检查其余漏洞，这是需要根据业务需求优先考虑面临风险的资产，而不是盯着脱离实际情况的CVSS分数。

（编辑：ASP站长网）