當(dāng)我們?cè)隈{駛中使用道路導(dǎo)航系統(tǒng)時(shí)，首先需要一張準(zhǔn)確的電子地圖來(lái)作為參照。而在目前的IT系統(tǒng)漏洞管理工作中，很多企業(yè)組織和安全廠商都在將CVSS（國(guó)際通用漏洞評(píng)分系統(tǒng)）作為一張“參考地圖”，來(lái)指導(dǎo)相關(guān)工作的計(jì)劃與實(shí)施。網(wǎng)絡(luò)威脅情報(bào)平臺(tái)Flashpoint在其最新開展的《2022上半年網(wǎng)絡(luò)安全漏洞威脅研究報(bào)告》（以下簡(jiǎn)稱報(bào)告）中指出：如果CVSS漏洞評(píng)價(jià)機(jī)制誤導(dǎo)了安全人員，就會(huì)導(dǎo)致企業(yè)將有限的漏洞管理資源投入到錯(cuò)誤的漏洞修補(bǔ)任務(wù)中，卻忽視那些真正危害業(yè)務(wù)的漏洞。

　　CVSS的漏洞評(píng)價(jià)機(jī)制

　　CVSS（Common Vulnerability Scoring System）是由FIRST（事件響應(yīng)與安全團(tuán)隊(duì)論壇）創(chuàng)建，并由美國(guó)國(guó)家漏洞庫(kù)（NVD）保持?jǐn)?shù)據(jù)日常維護(hù)更新的一套漏洞評(píng)價(jià)標(biāo)準(zhǔn)體系，主要目的是幫助行業(yè)衡量漏洞危害的嚴(yán)重程度，并指導(dǎo)行業(yè)進(jìn)行漏洞修復(fù)。應(yīng)用CVSS評(píng)分機(jī)制對(duì)新安全漏洞進(jìn)行危害性評(píng)價(jià)時(shí)，通常會(huì)從基礎(chǔ)維度（Base Metric Group）、生命周期維度（Temporal Metric Group）和環(huán)境維度（Environmental Metric Group）進(jìn)行評(píng)估，并生成一個(gè)0到10分之間的評(píng)分值來(lái)評(píng)估漏洞的嚴(yán)重程度。

　　基礎(chǔ)維度評(píng)價(jià)指的是一個(gè)漏洞的內(nèi)在特征，主要評(píng)估漏洞本身固有的一些特點(diǎn)及這些特點(diǎn)可能造成的影響。該特征不會(huì)隨時(shí)間和用戶環(huán)境而改變。基礎(chǔ)評(píng)價(jià)是CVSS評(píng)分里最重要的一個(gè)指標(biāo)，我們一般看到的CVSS評(píng)分都是指漏洞的基礎(chǔ)評(píng)價(jià)得分；

　　生命周期維度評(píng)價(jià)主要衡量當(dāng)前利用技術(shù)或代碼可用性的狀態(tài)，是否存在任何補(bǔ)丁或解決方法或者漏洞報(bào)告的可信度等，生命周期評(píng)價(jià)會(huì)隨著時(shí)間的推移而改變；

　　環(huán)境維度評(píng)價(jià)使分析師能夠根據(jù)受影響的IT資產(chǎn)對(duì)用戶組織的重要性來(lái)定制CVSS評(píng)分，并根據(jù)組織基礎(chǔ)結(jié)構(gòu)中組件情況的分配分值。

　　不可否認(rèn)，CVSS評(píng)價(jià)指標(biāo)在幫助安全人員更多了解新漏洞的詳情信息時(shí)，產(chǎn)生了很多積極的價(jià)值和幫助。但需要強(qiáng)調(diào)的是，CVSS評(píng)分只是一個(gè)指標(biāo)，無(wú)法取代漏洞管理實(shí)踐中的應(yīng)用風(fēng)險(xiǎn)分析。而研究人員卻發(fā)現(xiàn)，目前很多企業(yè)過(guò)于關(guān)注CVSS漏洞評(píng)價(jià)與披露情況，并將其評(píng)價(jià)分值作為了制定漏洞修補(bǔ)的優(yōu)先級(jí)和行動(dòng)計(jì)劃的首要標(biāo)準(zhǔn)。這就會(huì)給漏洞管理工作帶來(lái)很大的風(fēng)險(xiǎn)和誤導(dǎo)，因?yàn)槁┒蠢碚撋系膰?yán)重程度與它能給組織帶來(lái)的實(shí)際風(fēng)險(xiǎn)往往并不匹配。

　　正如報(bào)告研究數(shù)據(jù)所顯示的，在過(guò)去十年中被CVSS評(píng)分為10.0的所有“高危級(jí)”漏洞中，有51.5%的漏洞危害后果描述未能被詳細(xì)說(shuō)明，或者并不需要披露，這說(shuō)明這些漏洞當(dāng)時(shí)的評(píng)分并不準(zhǔn)確，但這可能實(shí)際誤導(dǎo)了很多企業(yè)對(duì)這些“虛假高危”漏洞的關(guān)注和資源投入。

　　此外，報(bào)告數(shù)據(jù)還顯示，2022年上半年報(bào)告的“在野漏洞”（指已被POE驗(yàn)證可利用，但還沒(méi)有公開收入到漏洞庫(kù)，或沒(méi)有官方補(bǔ)丁，難以實(shí)現(xiàn)有效安全控制的漏洞）數(shù)量比已給出評(píng)分的漏洞多出85%，這表明攻擊者實(shí)際利用漏洞的情況比CVSS分析評(píng)價(jià)的要更加頻繁和復(fù)雜。

　　重點(diǎn)關(guān)注漏洞的可利用性

　　報(bào)告研究人員認(rèn)為，相比于漏洞的CVSS評(píng)分值，其實(shí)漏洞的可利用性指標(biāo)更應(yīng)該在企業(yè)漏洞管理工作中得到關(guān)注和體現(xiàn)。安全團(tuán)隊(duì)?wèi)?yīng)該優(yōu)先考慮業(yè)務(wù)需求，實(shí)際減少數(shù)字化業(yè)務(wù)開展中的安全風(fēng)險(xiǎn)為目標(biāo)，而不是盯著脫離實(shí)際情況的漏洞評(píng)價(jià)分?jǐn)?shù)。

　　對(duì)安全管理團(tuán)隊(duì)而言，制定漏洞懸賞計(jì)劃和開展定期的滲透測(cè)試可以提高漏洞管理的有效性。研究人員指出，在實(shí)際應(yīng)用中，危害性最強(qiáng)的漏洞通常會(huì)具有三個(gè)特征：可以被遠(yuǎn)程利用、有公開漏洞利用代碼，以及有切實(shí)可行的解決方案（比如補(bǔ)丁或升級(jí)）。這些漏洞應(yīng)該列在排查清單的首位，因?yàn)樗鼈儤?gòu)成的實(shí)際風(fēng)險(xiǎn)最大，但是往往又最容易修復(fù)。一旦解決了這些漏洞，安全團(tuán)隊(duì)就可以使用基于風(fēng)險(xiǎn)的方法檢查其余漏洞，這是需要根據(jù)業(yè)務(wù)需求優(yōu)先考慮面臨風(fēng)險(xiǎn)的資產(chǎn)，而不是盯著脫離實(shí)際情況的CVSS分?jǐn)?shù)。

　　圖：2022上半年漏洞排查分布情況

　　開展更積極的漏洞管理

　　在網(wǎng)絡(luò)世界中，安全漏洞將會(huì)長(zhǎng)期存在，所謂的安全性不僅是指“安全”或“不安全”，而是還取決于企業(yè)發(fā)現(xiàn)漏洞并進(jìn)行響應(yīng)的速度，只有通過(guò)科學(xué)的手段實(shí)現(xiàn)高效漏洞管理，網(wǎng)絡(luò)系統(tǒng)才會(huì)變得更加安全與健壯。

　　通過(guò)抽象CVSS評(píng)分值來(lái)做出漏洞安全管理的決策，這只會(huì)給企業(yè)帶來(lái)虛假的安全感，如果這種情況已經(jīng)存在，應(yīng)該盡快修改漏洞管理策略與流程。盡管采用積極的漏洞補(bǔ)丁管理策略會(huì)更具挑戰(zhàn)，但是卻會(huì)給企業(yè)帶來(lái)很多幫助，因?yàn)槁┒磁吨笸ǔ?huì)引發(fā)大量的公共概念證明（POC），這些POC也同樣會(huì)被各種攻擊者所利用。修復(fù)漏洞并不只是摁下“更新按鈕”那么簡(jiǎn)單，整個(gè)過(guò)程可能需要數(shù)周、甚至數(shù)月。

　　對(duì)于企業(yè)安全管理人員來(lái)說(shuō)，在制定和實(shí)施漏洞管理計(jì)劃時(shí)，首先需要明確一點(diǎn)，如何判斷漏洞管理項(xiàng)目的有效性？如何成功實(shí)施漏洞管理項(xiàng)目？很多時(shí)候，漏洞管理不僅僅是一個(gè)技術(shù)問(wèn)題而是企業(yè)綜合管理問(wèn)題，它應(yīng)該是程序化的，包含計(jì)劃、行動(dòng)、協(xié)同、問(wèn)責(zé)和持續(xù)改進(jìn)。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<