通用漏洞評分系統 (CVSS) 是一個公共框架 ,用於評估軟體中安全漏洞的嚴重性。這是一箇中立的評分系統,讓所有企業能夠使用相同的評分框架對各種軟體產品(從作業系統、資料庫再到 Web 應用程式)的 IT 漏洞進行評分。
為什麼企業要採用 CVSS
在沒有 CVSS 以前,軟體供應商使用自己的方法對軟體漏洞進行評分,但是他們通常沒有詳細說明分數是如何計算的。這給安全人員帶來了一個難題:首先修復嚴重性為“高”的漏洞,還是修復等級為 5 的漏洞?為了解決這個問題,美國國家基礎設施保障委員會 (NIAC) 開發了 CVSS 來簡化一致分數的生成,該分數可以準確反映漏洞對特定 IT 環境的嚴重性和影響。
作為一個公開的評分框架,企業可以自由訪問用於生成分數的引數,清楚地瞭解任何漏洞分數背後的原理和差異。這讓安全團隊更容易評估漏洞對其系統的影響,並優先考慮首先修復哪些漏洞。CVSS 還可以幫助組織滿足各種標準的安全合規要求。
目前,CVSS 已被廣泛採用,並被美國國土安全部 (DHS)、美國計算機應急響應小組 (CERT) 和許多其他機構使用。Cisco、Qualys、Oracle 和 SAP 等大型企業也會生成 CVSS 分數,以告知使用者在其產品中發現的漏洞的嚴重性。軟體開發人員還可以使用 CVSS 分數來確定安全測試的優先順序,以確保在開發過程中修復或緩解已知的嚴重漏洞。
如何理解 CVSS 分數
許多安全團隊使用 CVSS 來確定漏洞管理活動的優先順序,例如事件響應流程、缺陷跟蹤和解決,或緩解控制的實施。
最新版本 CVSS v3.1 中,透過對受利用過程和影響的因素進行評估,從而得出最終的嚴重性分數。當企業在沒有相關環境資訊的情況下設定漏洞的某些屬性時,CVSS 分數就是一個可參考的“客觀”資訊。以下是 Spring4Shell 漏洞 的 CVSS 示例,其嚴重性評分為 9.8 CRITICAL。
圖片來源:Sysdig
基本指標
CVSS 的基礎分數(Base Score)由以下變數計算得出:
攻擊向量 (Attack Vector) : 該指標反映了可能利用漏洞的環境。攻擊者距離越遠(例如遠端利用漏洞發起攻擊),基本得分越高。
- 攻擊複雜度 (Attack complexity) : 該指標反映了利用漏洞的複雜/容易程度。在高複雜度的情況下,需要攻擊者花費大量的努力來準備或執行針對易受攻擊的元件。最不復雜的攻擊,基本得分最高。
- 所需特權 (Privileges Required) : 決定了攻擊者成功利用漏洞所必須擁有的特權級別。共有三個選項 None/Low/High。None 是指無需身份驗證即可利用漏洞。在沒有特權的情況下,基本分數最高。
- 使用者互動 (User Interaction) :這一項描述了是否可以在沒有單獨使用者參與的情況下利用漏洞。這在使用者需要與威脅(惡意軟體)互動以破壞其裝置的移動應用程式中很常見。另一個例子,類似於網路釣魚攻擊,本身並沒有風險,但攻擊者使用社交工程來讓受害者點選連結並受到攻擊。
- 範圍 (Scope):度量捕獲一個易受攻擊元件中的漏洞是否會影響超出其安全範圍的元件中的資源,當範圍沒有發生變化時,基本分數最低。
- CIA (機密性、完整性和可用性) : 該模型是構成安全系統和策略開發的權威安全模型基礎。這三個影響指標反映了成功利用漏洞的影響和後果。
基本分數是一個客觀值,隨著時間的推移保持穩定並且在各企業之間保持一致。作為補充還有兩個指標,分別為時間和環境。這些值會帶來更多的評分複雜性,因此在企業進行漏洞管理早期可能不會關注。
時間指標
時間指標根據漏洞的當前狀態作為已知漏洞來衡量漏洞的各個方面,因此代表了漏洞的隨時間變化的屬性,例如官方補丁的釋出。它還包括報告置信度指標,該指標衡量對漏洞存在的置信度以及證明漏洞真實且可利用的已知技術細節的可信度。因此會隨著漏洞的生命週期而改變。
環境指標
環境指標讓安全人員可以根據受影響的 IT 資產對其的重要性來自定義 CVSS 分數。該指標提供了漏洞在企業內部的真實環境(包括受漏洞影響的資產關鍵性、緩解控制識別和相關資產使用)。
具體 CVSS 分數計算示例見參考連結。
CVSS 補充評分系統
在評估系統的安全性時,以下的衍生評分系統能夠對 CVSS 進行有效補充。比如:
通用誤用評分系統 (CMSS):這是一組衡量具有誤用漏洞的軟體的嚴重性指標。該分數可以幫助公司提供用於對系統的整體安全狀況進行定量評估的資料。
通用配置評分系統 (CCSS):CCSS 基於 CVSS 和 CMSS。CCCS將基準指標的可利用性分為主動或被動。主動利用是指攻擊者執行操作以利用錯誤配置,而被動利用指的是透過配置缺陷使授權機制失效。
通用弱點評分系統 (CWSS):從概念上講,CVSS 和 CWSS 非常相似。透過對弱點的描述方法進行標準化,使用者可以透過CWSS的攻擊面指標和環境指標,使用業務環境的上下文資訊來評價軟體功能所面臨的風險,以便精準地進行安全決策。CWSS 可以應用在釋出新漏洞的早期過程中。
參考連結: