揭开CVSS的神秘面纱

一、CVSS到底是什么？

虽然软件漏洞的潜在影响不应该被低估，但是对每个漏洞给予同等重要性是不科学的，同时也是不合理的。因此，我们需要一个专业评分标准对每个漏洞的严重程度进行优先级排序，以便企业和安全团队可以从容的理解和修复每个已知漏洞。于是CVSS应运而生。

CVSS（The Common Vulnerability Scoring System通用漏洞评分系统）是一个行业标准，由FIRST.org编写并更新。FIRST是一个总部设在美国的非营利组织，在全球拥有超过500个成员组织，它的权威性因此得到了有效的保证。

CVSS提供了信息安全漏洞严重程度的数值，0-10代表不严重到致命威胁。CVSS评分通常被用作漏洞管理程序的一部分，以提供漏洞之间的比较点，以便优先修复严重程度高的漏洞。

二、评分标准

CVSS现在的版本是V3.1，其更新目的是解决V2中的一些已知缺点。

CVSS评分由三组指标组成：基础、时间、环境。每组指标都有一些基础评分因素。

1.CVSS Base Metrics

基础因素代表了漏洞本身的特征。这些特征不会随着时间的推移而改变，也不依赖实际使用的可利用性或企业设置的补偿手段。公开的严重程度排名，例如NIST的NVD中列出的那些，仅指CVSS基础评分。

基础CVSS分数的简单可用性为修复优先级排序提供了一个简便的起点，但它的用途有限，因为它没有考虑到实际应用中的使用率、补丁的可用性、或其他环境因素。

CVSS基础因素由三个子评分元素组成：可利用性（Exploitability）、范围（Scope）和影响（Impact）

①可利用性：可利用性由漏洞组件的特征组成，它又由四个子元素构成。

A.攻击向量：这个分数根据利用漏洞所需的访问级别而变化。对于可以远程执行的攻击，它的得分要高于需要实体存在的攻击。

B.攻击复杂度：这个得分随攻击者控制范围之外的因素而变化。对于需要攻击者进行额外工作的漏洞攻击（例如盗取共享密钥或中间人攻击），它的得分要高于不需要这种额外工作的攻击。

C.特权许可：这个分数根据攻击者进行攻击所需的特权而变化。需要管理特权才能利用的漏洞比不需要身份验证或攻击者升级特权的漏洞得分更高。

D.用户交互：这个分数随攻击者是否必须招募一个参与者来完成他们的任务而变化。如果攻击者能够在没有实际用户参与的情况下自主操作，则得分会更高。

②范围：与一个组件中的漏洞是否可以感染到其他组件有关。如果存在感染可能性，则该得分会较高。

③影响：侧重于攻击者可以通过利用相关的漏洞实现的实际结果，它又由三个子因素构成。

A.机密性：该得分随攻击者获得访问的数据量而变化。如果受影响系统上的所有数据都可以被攻击者访问，那么得分会更高。如果没有数据可以访问，得分会较低。

B.完整性：该分数随攻击者改变受影响系统上数据的能力而变化。如果大范围的修改数据，则该分数将会很高。

C.可用性：该分数随着被利用系统可用性的丢失而变化。如果由于变化，系统不再支持对授权用户可访问或可使用，那么该得分将会较高。

2.CVSS Temporal Metrics

CVSS时间因素是随时间变化的因素，该因素可以衡量漏洞的当前可利用性，以及修复补丁的可用性。时间因素又包含三个子因素。

①利用代码成熟度：在存在利用漏洞的方法之前，它是相对良性的。与大多数软件一样，可用于进行攻击的代码会渐渐成熟，随着时间的推移变得更加稳定和被广泛可用。当这种情况发生时，该分数将会增加。

②修复级别：当第一次发现漏洞时，可能没有补丁或其他可用的解决方案。但随着时间的推移，修复措施会变得越来越多也越来越可用，于是该分数也会随之降低。

③报告置信度：置信度测量验证水平，表明一个漏洞时真实的和可利用的。

3.CVSS Environmental Metrics

CVSS环境因素允许企业根据安全需求和基础因素的修改来更改CVSS分数。该因素包含两个子因素。

①安全要求：描述了有关资产的关键性。任务关键数据和资产的得分高于不太重要的数据和资产。

②修改的基本标准：企业可以根据已经实施的修复措施选择修改相应的CVSS基础分数。

三、定性评级

CVSS分数为0-10分，对于最新的标准 CVSS v3.1，它的评级标准如下：

四、CVSS和CVE有什么不同？

当涉及到安全漏洞时，有太多的简写需要识别：CVE、CVSS、NVD、NIST。其中CVE代表Common Vulnerability Enumeration（通用漏洞枚举），它是一个所有公开漏洞的列表，由Mitre公司建立。NIST是美国的“工信部”，它建立了NVD（美国国家漏洞数据库），其中的数据直接应用了Mitre CVE列表中的数据。

在NVD中，安全人员可以看到分配给每个CVE的CVSS分数。