为什么通用漏洞评分系统(CVSS)必要却不足
准确衡量漏洞带来的风险并非易事。许多组织默认使用通用漏洞评分系统(CVSS)来理解漏洞的规模和范围。尽管CVSS是一个有用的工具,但它自身也存在漏洞。
漏洞评分如何工作?
漏洞评分系统用于确定软件或系统漏洞相关的风险。数值评分帮助IT和安全团队了解如何以及在哪里分配资源以应对潜在风险。
漏洞评分考虑的因素包括利用漏洞的复杂性、对受影响系统的潜在影响,以及攻击成功是否需要管理员访问或用户交互。
CVSS是多种评分方法框架之一,但已成为行业领先的标准。这是因为它在漏洞沟通中引入了高度的一致性。
什么是通用漏洞评分系统(CVSS)?
CVSS已成为计算漏洞严重性的首选方法。其理念是基于0到10的数值尺度,标准化利益相关方评估和排名漏洞的方式。
CVSS考虑哪些因素?
CVSS使用多个标准为企业基础设施中的漏洞分配重要性,例如:
- 攻击向量:漏洞的来源是什么?例如,它是否存在于本地机器上、跨网络远程存在,还是其他上下文?
- 访问复杂性:利用过程的难度或复杂性如何?
- 认证:利用是否需要用户认证?
- 影响:威胁可能如何影响系统的机密性、完整性或可用性?
- 用户交互:事件是否需要用户采取行动,例如点击钓鱼邮件中的链接?
每个领域都被分配分数,然后汇总生成整体CVSS严重性评级。
CVSS命名法
CVSS分数通常分为严重性级别:
- 低(0.1–3.9):轻微风险,潜在损害较小。
- 中(4.0–6.9):表示中等风险,应采取措施。
- 高(7.0–8.9):严重漏洞,需要迅速行动。
- 关键(9.0–10):由于广泛利用的严重潜在性,具有高紧急性的漏洞。
还有其他漏洞评分系统吗?
其他漏洞评分方法如漏洞利用预测评分系统(EPSS)也存在。然而,现实是没有人像CVSS那样获得广泛采用。
漏洞评分系统的不足
CVSS确实提供了漏洞的基本评估。不幸的是,它在多个方面存在不足,这使得单独使用时不够充分。
静态评分和盲点
CVSS的一个不足是使用静态、固定的评分模型。系统在首次识别漏洞时分配严重性分数。尽管情况变化,这个分数从不更新。正如你可能想象的,这是有缺陷的,因为今天被分类为“低”的漏洞未来可能转变为更高优先级。简而言之,CVSS只捕捉一个时间点的画面,不考虑景观的变化。
例如,一个“5.0”的中等分数最初可能看起来不重要。进一步下去,如果发现并升级了利用,固有风险会急剧增加。没有额外上下文的益处,决策者可能错误地优先处理漏洞。
什么是风险上下文?
CVSS的另一个潜在不足是它可能不调整组织的特定操作环境或风险上下文。漏洞的风险通常取决于组织和上下文。例如,银行面向公众的服务器上的漏洞将比部门内部少数人使用的内部服务器上的相同漏洞带来更大风险。“低严重性”漏洞对于处理敏感数据的组织(如医院)可能是灾难性的。暴露医疗记录的可能性比其他类型的泄露客户数据具有更高的监管风险。监管上下文告知了提升的组织风险。
简而言之,风险上下文很重要。每个适用的漏洞必须在适当的组织和使用上下文中判断——可能融入组织更广泛的风险管理工作。
计算漏洞分数
CVSS在优先排序方面不足,通过这个例子生动体现:
CVSS分数5.0可能表示中等严重性。仅基于这个静态数字做决定可能导致漏洞被过早驳回。漏洞可能未被解决,并为组织带来潜在和错误分类的风险。
相反,领导者应参与漏洞的上下文。管理层可能注意到CVSS 5.0漏洞在利用源中趋势上升,有相关的勒索软件利用,并存在于高度关键的服务器上。这些额外的“红旗”条件意味着漏洞可能威胁组织的运营——因此必须基于风险适当优先排序。
简而言之,仅依赖CVSS等同于隧道视野,可能使组织易受攻击。
更好的漏洞评分方法
一刀切的漏洞分数有局限性。Ivanti的漏洞风险评级(VRR)通过利用动态上下文和环境因素来衡量风险,超越了静态CVSS分数。
用于生成漏洞风险评级的因素有哪些?
VRR通过在传统CVSS输入之上分层上下文来定义:
- CVSS分数:用作初始基线。
- 可利用性:漏洞是否正在被积极利用?
- 趋势:漏洞是否出现在利用工具包、勒索软件活动或其他恶意工具中?
- 严重性动态:随着新风险的出现,VRR更新,使其对最新威胁响应和相关。
VRR以现实世界的优先排序告知组织。在实践中,这意味着高风险漏洞不会溜走,而低风险问题不会给可能已经分散的团队增加额外压力。
主动漏洞管理从这里开始
智能漏洞管理应关注更多 than 填补空白。它也关于拓宽你的视野。静态、通用的评分系统不再支持现代IT环境的需求。
通过Ivanti的VRR,组织可以获得很多。首先,你可以放心,修复工作与现实世界的风险对齐。对组织健康和风险态势的可见性使你在保持领先于威胁方面具有优势。更不用说,展示降低风险的能力对于网络保险和合规性至关重要。
提升漏洞管理意味着超越CVSS的局限性。