![](https://img-blog.csdnimg.cn/direct/430298fba5f84f7b8230e0f995ee9d70.png)
![](https://img-blog.csdnimg.cn/direct/87926c79e4ce48d0a633434ff1c78600.jpeg)
您如何评估软件安全漏洞?是否可以确定其严重程度?在存在多个漏洞的情况下,如何确定更新代码的顺序?
这些只是您在管理IT系统安全时需要问自己的一些问题。
其中一个可能的解决方案涉及一个名为 FIRST(事件响应和安全团队论坛)的组织和一个缩写为 CVSS(通用漏洞评分系统)的工具,目前版本为4.0。
CVSS的历史
CVSS的历史可以追溯到2005年,经过大约两年的学习和研究,美国总统顾问机构国家基础设施咨询委员会推出了1.0版本。
随后是2007年的2.0版和2015年的3.0版,当前版本4.0于2023年10月21日发布。
CVSS是一个非常有用的技术标准,但是,像所有事情一样,它并不能解决所有类型的问题。
例如,它没有提供对攻击者利用漏洞的概率的度量,这是因为它是不完全由技术因素决定。
CVSS4.0的工作原理
CVSS包括为每个识别的漏洞分配0到10之间的分数,该分数表示漏洞的严重性,分数越高。
评分是通过评估30个不同的因素来进行的,为了方便和同质性,将这些因素分为四类:Base、Threat、Environmental、Suplemental,缩写为B、T、E和S。
因此,当我们谈论CVSS-B时表示仅使用基本指标计算的CVSS值,大多数情况都是这种情况。
基本类别(或指标)又包含另外两个指标:可利用性和影响力。
可利用性包括评估成功利用漏洞的要求的指标。
另一方面,影响包括用于衡量相关漏洞对CIA三元组(机密性、完整性、可用性)影响的指标。
如前所述,除了基本指标之外,还有其他三个类别:
威胁,仅包括有关漏洞利用成熟度的信息,即利用漏洞的容易程度;
环境,包括与基础相同的类别,但根据对特定公司或组织的影响进行评估;
补充,包括六个类别:安全性、可自动化、恢复、价值密度、漏洞响应努力、提供商紧迫性。
当然,CVSS4.0还有许多其他有趣的功能,更好奇的人可以在DavideAriu的这项研究中找到这些功能:关于通用漏洞评分系统(CVSS)4.0
使用FIRST提供的相应在线计算器,尝试从已知漏洞开始计算价值相对简单。
进行一些测试可以让您真正了解CVSS给出的详细程度,并了解真正的价值实际上在多大程度上取决于所考虑的组织的特殊性。
到目前为止,我们只部分回答了最初的第一个问题:如何评估软件安全漏洞。
为了回答其他两个问题,需要考虑相关IT基础设施、环境和相关风险。因此,考虑因素与个案有关,不能一概而论。
漏洞管理
通常,在对公司IT系统进行漏洞分析期间,会出现数十或数百个漏洞,其中一些漏洞是安全团队已知的,但大多数是未知的。
评估与每个漏洞相关的风险并为解决问题提供正确的优先级是一项艰巨的工作。
还应该考虑到,这个过程通常是碎片化的,并且是手动执行的,因为使用单个工具并不总是能够获得所有可用和可见的数据,也不容易将它们倒入单个容器中进行分析。
最后一个问题(并非最不重要)涉及它们的可视化,这通常涉及创建不能立即读取的图形。
还有一些与漏洞识别及其缓解相关的实际问题。
在某些环境中,无法启动自动系统扫描程序,需要手动搜索各个设备。公司系统并不总是最新的,并且并不总是支持缓解已知漏洞所需的更改。
在某些情况下,系统的功能(读取操作)甚至可能受到损害,这通常是不受欢迎的。最终我们需要在安全和操作之间找到正确的折衷方案。
在这一点上,值得注意的是,还有一些根据特定公司或组织面临的特定风险来管理漏洞的方法。
这种方法考虑了与所考虑部件的脆弱性相关的信息。
但是这些漏洞是什么以及在哪里可以找到它们?
为了回答这些新问题,我们需要考虑一个新的缩写词:CVE,它代表“常见漏洞和暴露”。
事实上,CVE只不过是由MITRE发布的包含已知漏洞的列表。
MITRE还不断更新CVE编号机构(CNA)列表,即被授权为漏洞分配编号并根据明确定义的程序发布该编号的组织。
这些CNA通常是软件供应商和安全研究人员,但任何人都可以请求为新漏洞分配编号。
每个CVE均由标识符号、简短描述和漏洞报告引用组成。
当前版本的列表包括233,151个不同的项目。
优先考虑漏洞
如果您认为最复杂的部分已经结束,那您就错了!
我们甚至还没有尝试回答也许是最重要的问题:在存在多个漏洞的情况下,我们如何确定更新代码时使用的顺序?
确定漏洞的优先级需要对组织有充分的了解,并分配与对公司核心业务的影响相关的风险值。
最终,具有较高风险值的漏洞通常必须对应较高的优先级索引。
在本文中,我们看到了一些与CVSS和CVE首字母缩略词相对应的重要概念,但也看到了一些安全管理流程,例如也以特定风险形式存在的漏洞管理。
目标是让人们了解这些概念的复杂程度以及负责管理组织安全的IT安全团队要执行的操作。