CVSS評分機(jī)制會將企業(yè)漏洞管理引入歧途嗎?

報告研究人員認(rèn)為,相比于漏洞的CVSS評分值,其實漏洞的可利用性指標(biāo)更應(yīng)該在企業(yè)漏洞管理工作中得到關(guān)注和體現(xiàn)。安全團(tuán)隊?wèi)?yīng)該優(yōu)先考慮業(yè)務(wù)需求,實際減少數(shù)字化業(yè)務(wù)開展中的安全風(fēng)險為目標(biāo),而不是盯著脫離實際情況的漏洞評價分?jǐn)?shù)。

本文來自安信安全。

當(dāng)我們在駕駛中使用道路導(dǎo)航系統(tǒng)時,首先需要一張準(zhǔn)確的電子地圖來作為參照。而在目前的IT系統(tǒng)漏洞管理工作中,很多企業(yè)組織和安全廠商都在將CVSS(國際通用漏洞評分系統(tǒng))作為一張“參考地圖”,來指導(dǎo)相關(guān)工作的計劃與實施。網(wǎng)絡(luò)威脅情報平臺Flashpoint在其最新開展的《2022上半年網(wǎng)絡(luò)安全漏洞威脅研究報告》(以下簡稱報告)中指出:如果CVSS漏洞評價機(jī)制誤導(dǎo)了安全人員,就會導(dǎo)致企業(yè)將有限的漏洞管理資源投入到錯誤的漏洞修補(bǔ)任務(wù)中,卻忽視那些真正危害業(yè)務(wù)的漏洞。

CVSS的漏洞評價機(jī)制

CVSS(Common Vulnerability Scoring System)是由FIRST(事件響應(yīng)與安全團(tuán)隊論壇)創(chuàng)建,并由美國國家漏洞庫(NVD)保持?jǐn)?shù)據(jù)日常維護(hù)更新的一套漏洞評價標(biāo)準(zhǔn)體系,主要目的是幫助行業(yè)衡量漏洞危害的嚴(yán)重程度,并指導(dǎo)行業(yè)進(jìn)行漏洞修復(fù)。應(yīng)用CVSS評分機(jī)制對新安全漏洞進(jìn)行危害性評價時,通常會從基礎(chǔ)維度(Base Metric Group)、生命周期維度(Temporal Metric Group)和環(huán)境維度(Environmental Metric Group)進(jìn)行評估,并生成一個0到10分之間的評分值來評估漏洞的嚴(yán)重程度。

基礎(chǔ)維度評價指的是一個漏洞的內(nèi)在特征,主要評估漏洞本身固有的一些特點及這些特點可能造成的影響。該特征不會隨時間和用戶環(huán)境而改變?;A(chǔ)評價是CVSS評分里最重要的一個指標(biāo),我們一般看到的CVSS評分都是指漏洞的基礎(chǔ)評價得分;

生命周期維度評價主要衡量當(dāng)前利用技術(shù)或代碼可用性的狀態(tài),是否存在任何補(bǔ)丁或解決方法或者漏洞報告的可信度等,生命周期評價會隨著時間的推移而改變;

環(huán)境維度評價使分析師能夠根據(jù)受影響的IT資產(chǎn)對用戶組織的重要性來定制CVSS評分,并根據(jù)組織基礎(chǔ)結(jié)構(gòu)中組件情況的分配分值。

不可否認(rèn),CVSS評價指標(biāo)在幫助安全人員更多了解新漏洞的詳情信息時,產(chǎn)生了很多積極的價值和幫助。但需要強(qiáng)調(diào)的是,CVSS評分只是一個指標(biāo),無法取代漏洞管理實踐中的應(yīng)用風(fēng)險分析。而研究人員卻發(fā)現(xiàn),目前很多企業(yè)過于關(guān)注CVSS漏洞評價與披露情況,并將其評價分值作為了制定漏洞修補(bǔ)的優(yōu)先級和行動計劃的首要標(biāo)準(zhǔn)。這就會給漏洞管理工作帶來很大的風(fēng)險和誤導(dǎo),因為漏洞理論上的嚴(yán)重程度與它能給組織帶來的實際風(fēng)險往往并不匹配。

正如報告研究數(shù)據(jù)所顯示的,在過去十年中被CVSS評分為10.0的所有“高危級”漏洞中,有51.5%的漏洞危害后果描述未能被詳細(xì)說明,或者并不需要披露,這說明這些漏洞當(dāng)時的評分并不準(zhǔn)確,但這可能實際誤導(dǎo)了很多企業(yè)對這些“虛假高危”漏洞的關(guān)注和資源投入。

此外,報告數(shù)據(jù)還顯示,2022年上半年報告的“在野漏洞”(指已被POE驗證可利用,但還沒有公開收入到漏洞庫,或沒有官方補(bǔ)丁,難以實現(xiàn)有效安全控制的漏洞)數(shù)量比已給出評分的漏洞多出85%,這表明攻擊者實際利用漏洞的情況比CVSS分析評價的要更加頻繁和復(fù)雜。

重點關(guān)注漏洞的可利用性

報告研究人員認(rèn)為,相比于漏洞的CVSS評分值,其實漏洞的可利用性指標(biāo)更應(yīng)該在企業(yè)漏洞管理工作中得到關(guān)注和體現(xiàn)。安全團(tuán)隊?wèi)?yīng)該優(yōu)先考慮業(yè)務(wù)需求,實際減少數(shù)字化業(yè)務(wù)開展中的安全風(fēng)險為目標(biāo),而不是盯著脫離實際情況的漏洞評價分?jǐn)?shù)。

對安全管理團(tuán)隊而言,制定漏洞懸賞計劃和開展定期的滲透測試可以提高漏洞管理的有效性。研究人員指出,在實際應(yīng)用中,危害性最強(qiáng)的漏洞通常會具有三個特征:可以被遠(yuǎn)程利用、有公開漏洞利用代碼,以及有切實可行的解決方案(比如補(bǔ)丁或升級)。這些漏洞應(yīng)該列在排查清單的首位,因為它們構(gòu)成的實際風(fēng)險最大,但是往往又最容易修復(fù)。一旦解決了這些漏洞,安全團(tuán)隊就可以使用基于風(fēng)險的方法檢查其余漏洞,這是需要根據(jù)業(yè)務(wù)需求優(yōu)先考慮面臨風(fēng)險的資產(chǎn),而不是盯著脫離實際情況的CVSS分?jǐn)?shù)。

2345截圖20220818151609.png

圖:2022上半年漏洞排查分布情況

開展更積極的漏洞管理

在網(wǎng)絡(luò)世界中,安全漏洞將會長期存在,所謂的安全性不僅是指“安全”或“不安全”,而是還取決于企業(yè)發(fā)現(xiàn)漏洞并進(jìn)行響應(yīng)的速度,只有通過科學(xué)的手段實現(xiàn)高效漏洞管理,網(wǎng)絡(luò)系統(tǒng)才會變得更加安全與健壯。

通過抽象CVSS評分值來做出漏洞安全管理的決策,這只會給企業(yè)帶來虛假的安全感,如果這種情況已經(jīng)存在,應(yīng)該盡快修改漏洞管理策略與流程。盡管采用積極的漏洞補(bǔ)丁管理策略會更具挑戰(zhàn),但是卻會給企業(yè)帶來很多幫助,因為漏洞披露之后通常會引發(fā)大量的公共概念證明(POC),這些POC也同樣會被各種攻擊者所利用。修復(fù)漏洞并不只是摁下“更新按鈕”那么簡單,整個過程可能需要數(shù)周、甚至數(shù)月。

對于企業(yè)安全管理人員來說,在制定和實施漏洞管理計劃時,首先需要明確一點,如何判斷漏洞管理項目的有效性?如何成功實施漏洞管理項目?很多時候,漏洞管理不僅僅是一個技術(shù)問題而是企業(yè)綜合管理問題,它應(yīng)該是程序化的,包含計劃、行動、協(xié)同、問責(zé)和持續(xù)改進(jìn)。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論