CVE评分系统的致命缺陷
来源:Borka Kiss via Alamy Stock Photo
评论
当今软件供应链承受着持续压力,新漏洞以创纪录的速度涌现。仅2024年,就报告了超过33,000个新的通用漏洞与暴露(CVE)。如此庞大的威胁数量让安全团队和开发人员应接不暇,他们被迫在履行核心职责的同时,筛选哪些威胁需要立即采取行动。
虽然许多漏洞在纸面上看起来很严重,但仔细研究往往会发现不同的情况。事实上,最近的研究发现,政府组织认定为"严重"的CVE中,只有12%真正值得这样的严重性评级。
这种脱节凸显了网络安全行业日益增长的挑战:尽管MITRE等成熟的CVE评分系统提供了有用的基线,但它们往往未能考虑到每个组织环境的独特背景。因此,团队可能专注于理论风险,而真正的威胁却被忽视。
以CVE-2024-45490为例——这是一个广泛使用的软件工具中的漏洞,获得了9.8的CVSS评分。尽管它获得了"严重"评级,但进一步的分析和背景显示,它仅适用于10%的实际应用场景。利用这个缺陷需要开发人员满足非常特定且不太可能出现的条件,使得实际利用变得极其不可能。
并非所有CVE评级都如其表面所示
对2024年发布的140个高调CVE的最新分析显示,88%的"严重"和57%的"高"CVE评分并不像CVSS评分所暗示的那样严重。事实上,只有27个CVE(15%)被发现是真正高度可利用的。
这凸显了评估CVE实际背景的重要性。没有这些信息,错误分类可能导致警报疲劳,消耗生产力和士气,并增加人为错误的风险,这可能比漏洞本身造成更大的危害。
通过考虑CVE在其特定环境中的可利用性、暴露水平和业务影响等方面,团队可以更明智地决定哪些漏洞需要立即关注。
对开发者和安全团队的影响
持续不断的安全警告和CVE披露使得区分真实威胁和不太紧急的问题变得越来越困难。随着时间的推移,这种压倒性的警报量会削弱注意力,导致倦怠、响应时间变慢以及更可能发生危险错误。随着威胁行为者变得越来越复杂,关键问题被忽视的风险只会加剧。
这种疲劳的一个主要原因是误报的普遍存在。当安全工具将安全代码标记为易受攻击时,分析师仍然需要调查这些警报以排除真实威胁。开发者也经常被拉去响应一连串的其他安全通知,而不是专注于构建新功能或改进现有产品,其中许多通知最终被证明是无足轻重的。
最终,漏洞疲劳不仅阻碍了安全团队和开发者的效率,还使组织面临更严重的安全事件风险。为了打破这个循环,组织需要更智能、基于上下文的优先级排序,使团队能够专注于真正重要的事情。
为什么我们必须改变处理CVE的方式
随着CVE数量和对软件供应链的其他相关威胁持续增长,组织必须超越表面评估,在急于修复之前分析每个漏洞的背景。背景可以显著重塑漏洞的感知威胁,因为在孤立情况下显得紧急的问题在实际场景中可能风险较低。
采用更细致、基于背景的方法使安全团队能够专注于真正重要的漏洞,而不是被拉向各个方向处理每个新披露的问题。
此外,一个具有背景意识的策略支持技术和业务利益相关者之间更好的沟通,使安全优先级与组织目标保持一致。通过创造更明智决策的机会,组织可以增强整体韧性,并保持适应新兴威胁所需的敏捷性,而不会牺牲创新或生产力。
关于作者
Ofri Ouzan
安全研究员与倡导者,JFrog安全部门
Ofri Ouzan是JFrog安全部门的安全研究员和倡导者。在网络安全领域拥有超过六年的经验,她专注于进行安全研究,重点关注漏洞和利用。Ofri擅长探索新技术并开发解决方案以应对最新的网络安全威胁。
查看更多来自Ofri Ouzan的内容
保持与最新的网络安全威胁、新发现的漏洞、数据泄露信息和新兴趋势同步。每日或每周直接发送到您的电子邮件收件箱。
订阅
更多见解
网络研讨会
创建更有效安全合作伙伴关系的路线图
2025年8月13日
更多网络研讨会
活动
[虚拟活动] 现代企业的战略安全
2025年6月25日
[虚拟活动] 数据泄露剖析
2025年6月17日
更多活动
您可能还喜欢
漏洞与威胁:披露戏剧笼罩CrushFTP漏洞利用
漏洞与威胁:macOS日历中的零点击RCE漏洞暴露iCloud数据
漏洞与威胁:零点击漏洞的PoC利用向大众提供
漏洞与威胁:SolarWinds:严重RCE漏洞需要紧急修补
特色内容
查看Black Hat USA会议指南,获取更多关于展会的报道和情报。
编辑选择
网络攻击与数据泄露:思科用户数据在网络钓鱼攻击中被盗
网络安全运营:Dark Reading机密:资助未来的CVE计划
应用安全:对Vibe编码进行网络安全氛围检查
网络研讨会
创建更有效安全合作伙伴关系的路线图
2025年8月13日
更多网络研讨会
白皮书
不断演变的勒索软件威胁:商业领袖应该了解的数据泄露
保护企业高管和VIP免受网络攻击
身份访问管理101
XDR在现代SOC中的影响
2021年Gartner托管检测与响应市场指南报告
更多白皮书
活动
[虚拟活动] 现代企业的战略安全
2025年6月25日
[虚拟活动] 数据泄露剖析
2025年6月17日
更多活动
探索更多
Black Hat | Omdia | 与我们合作 | 关于我们 | 广告 | 重印 | 加入我们 | 新闻通讯注册 | 关注我们
版权所有 © 2025 TechTarget, Inc. d/b/a Informa TechTarget。本网站由Informa TechTarget拥有和运营,该网站是一个全球网络的一部分,该网络为全球技术买家和卖家提供信息、影响和连接。所有版权归其所有。Informa PLC的注册办公室位于5 Howick Place, London SW1P 1WG。在英格兰和威尔士注册。TechTarget, Inc.的注册办公室位于275 Grove St. Newton, MA 02466。
首页 | Cookie政策 | 隐私 | 使用条款