CVSS v4.0 如何工作:漏洞特征描述与评分
通用漏洞评分系统(CVSS)为软件开发者、测试人员以及安全和IT专业人员提供了一种标准化的方法来评估漏洞。您可以使用CVSS评估每个漏洞的威胁级别,并据此确定缓解措施的优先级。
本文解释了CVSS的工作原理,回顾了其组成部分,并说明了为何使用标准化流程能帮助组织持续一致地评估漏洞。
软件漏洞是指代码库中任何可被利用的弱点。漏洞可能由各种编码错误导致,包括逻辑错误、验证机制不充分或缺乏针对缓冲区溢出的保护。攻击者可以利用这些弱点获得未经授权的访问、执行任意代码或破坏系统操作。
为何使用标准化评分系统?
每年披露的漏洞成千上万,组织需要一种方法来决定优先处理哪些漏洞。像CVSS这样的标准化评分系统可以帮助团队:
- 客观地比较漏洞
- 确定补丁和缓解工作的优先级
- 向利益相关者传达风险
CVSS由**事件响应与安全团队论坛(FIRST)维护,并被包括美国国家漏洞数据库(NVD)**在内的组织和漏洞数据库广泛使用。
CVSS v3.x 指标组
CVSS v3.x 包含三个主要指标组:
- 基础指标:漏洞的固有特征,不随时间或用户环境变化。
- 时间指标:随时间变化,但不随用户环境变化的特征。
- 环境指标:与特定用户环境相关且独特的特征。
CVSS v4.0 有哪些新变化?
于2023年底发布的CVSS v4.0更新,相比之前版本(v3.0/v3.1)带来了多项重大变化和改进。以下是新内容和变化:
1. 扩展的指标组
- 基础指标现在包含更细致的区分,例如新的"攻击前提"指标,以及对"所需权限"和"用户交互"指标的改进定义。
- 威胁指标是一个新的可选指标组,用于捕获现实世界的利用情况和威胁情报,帮助根据活跃利用情况对漏洞进行优先级排序。
- 补充指标提供额外背景信息(如安全性、自动化和可恢复性),以便为特定行业或使用场景定制评分。
2. 细化的评分和术语
- 攻击途径更清晰地区分了网络、相邻、本地和物理途径,并改进了定义。
- 攻击前提引入该指标,用于捕获成功利用必须存在但超出攻击者控制的条件。
- 所需权限和用户交互的定义已得到澄清和扩展,以反映现代攻击场景。
- 范围现称为"易受攻击的系统",提供了关于受影响对象的更精确语言。
3. 更高的灵活性和可定制性
- 模块化评分允许组织独立或组合使用基础、威胁和补充指标。
- 行业特定扩展让医疗保健、汽车或关键基础设施等行业能够应用更具针对性的评分。
4. 改进的指南和可用性
- 更清晰的文档:新规范现在包含更好的示例和更详细的指南,以减少评分时的歧义。
- 向后兼容性:CVSS v4.0分数不能直接与v3.x分数比较,但新系统设计为在过渡期间共存。
CVSS 评分流程如何运作(v4.0版)
-
评估基础指标 使用更新的指标定义评估漏洞的可利用性和影响。
-
纳入威胁指标(可选) 如果有关于活跃利用的情报,则相应调整分数以反映现实世界的风险。
-
添加环境和补充指标 根据您组织的环境和行业特定要求定制分数。
-
计算最终分数 CVSS计算器(现已更新至v4.0版)结合所选指标,生成一个介于0.0(无风险)到10.0(严重风险)之间的分数。
CVSS v4.0 评分示例
假设一个新发现的漏洞允许通过网络进行远程代码执行,且无需任何权限和用户交互。在CVSS v4.0下,您需要:
- 分配适当的基础指标(例如,网络、复杂度低、无需权限、无需用户交互)。
- 如果有活跃利用的证据,则使用威胁指标来提高紧迫性。
- 添加与您组织相关的任何环境或补充指标。
由此产生的分数有助于您根据技术细节和现实世界的威胁态势来确定补救工作的优先级。
此次更新的重要意义
CVSS v4.0的改进反映了软件漏洞性质的变化,以及对更细致、可操作的风险评估的需求。通过纳入现实世界的威胁情报和行业特定背景,组织可以就漏洞管理做出更明智的决策。
关键要点:
- CVSS v4.0提供了更准确、灵活和可操作的漏洞评分。
- 新的指标组允许进行定制化和现实世界的优先级排序。
- 组织应过渡到CVSS v4.0,以获得更全面的漏洞风险管理方法。
有关更多信息并访问最新的CVSS v4.0计算器和文档,请访问FIRST CVSS v4.0页面。