對任何處理軟件漏洞的人而言�����,CVE和CVSS通常是尋找細節(jié)過程中的第一步,通過這兩步��,人們可以發(fā)現(xiàn)有關漏洞的全部細節(jié)����。
通用漏洞評分系統(tǒng)(CVSS)誕生于2007年,是用于評估系統(tǒng)安全漏洞嚴重程度的一個行業(yè)公開標準。CVSS現(xiàn)在已經進入第二個版本��,第三版正在開發(fā)中���。它的主要目的是幫助人們建立衡量漏洞嚴重程度的標準�����,使得人們可以比較漏洞的嚴重程度,從而確定處理它們的優(yōu)先級���。CVSS得分基于一系列維度上的測量結果,這些測量維度被稱為量度(Metrics)��。漏洞的最終得分最大為10��,最小為0�����。得分7~10的漏洞通常被認為比較嚴重,得分在4~6.9之間的是中級漏洞�,0~3.9的則是低級漏洞���。
大多數(shù)商業(yè)化漏洞管理軟件都以CVSS為基礎��,因此各企業(yè)看待漏洞的視角通常是從CVSS得分出發(fā)。盡管CVSS在快速進行漏洞優(yōu)先級排序和甄別漏洞方面效果顯著�����,其排序速度往往基于企業(yè)對其進行本地化配置的情況���。
CVSS是強大的監(jiān)測工具����,但進行評分所依賴的所有量度都是很籠統(tǒng)的。為了達到最高的監(jiān)測效率��,需要根據具體環(huán)境對CVSS進行本地化配置�����。但現(xiàn)實是��,大多數(shù)企業(yè)病不這樣做。它們直接使用Rapid7�、Qualys��、Tenable公司的信息,并不根據企業(yè)的特定環(huán)境和特定風險進行專門配置���。
舉例而言,Rapid7公司在談及CVSS時直率地表示�,CVSS基本量度只評估漏洞的潛在風險����,在評估過程中并不需要收集時間和環(huán)境數(shù)據�����。因此���,通過CVSS基本量度得出的漏洞評分并未考慮到全公司上下的整體情況����。
從嚴格意義上來講����,CVSS評分并不代表具體事件可能發(fā)生的概率。它只代表了公司被入侵成功的概率���。
CXOWare公司董事長、《衡量與管理信息風險》一書合作者杰克·瓊斯(Jack Jones)在近期召開的“信息安全世界”大會上發(fā)表了一些有關CVSS的批評言論��。
CVSS是很有潛力的工具�����,但人們對它知之甚少。大多數(shù)公司使用CVSS的方式都不對。
瓊斯并不是CVSS的唯一批評者。有些人認為����,CVSS在將安全風險公式化方面做得并不好�����,而且其評估漏洞風險的過程可能過于復雜。
另一個問題在于,CVSS通常被用于漏洞評分�,進而與風險度量模塊結合�����。結果是,這樣浪費了資源��,公司沒辦法甄別出最重要的安全問題��。
瓊斯對CVSS的主要疑慮來源于該系統(tǒng)的加權模式�。CVSS的說明文檔中并不包括確定權重分配的內在邏輯�,因此,用戶是在并不理解原理的前提下使用CVSS的。根據瓊斯的個人經驗,這些權重往往只適用于一小部分特殊情況�����,而對大多數(shù)安全事件沒有概括能力�。如果考慮到描述上的歧義、限制范圍、應用情景,在有些情況下得到的CVSS評分可能完全沒有意義����。既然用戶都在使用這些權重值�����,開發(fā)者應當至少提供一些合適的說明,以讓用戶在知情狀態(tài)下決定何時使用這些權值。
設計和實現(xiàn)情況是評價CVSS這樣的統(tǒng)計學工具的唯一指標��。在近期發(fā)售的新書《統(tǒng)計學錯了》中���,作者寫道:即使是在那些最智慧的使用者手里���,統(tǒng)計學也經常是錯的���??茖W家們大范圍地錯誤使用統(tǒng)計學,令人吃驚�。對于使用CVSS的用戶而言�����,我們應該再次強調此書作者的觀點。
CVSS分數(shù)計算器允許用戶對權重進行自定義設置���,以適應用戶本公司的環(huán)境。不過,大多數(shù)公司還是使用標準的CVSS權重�,并不會進行手動定制����。事實上����,每個公司都應當根據自身情況確定權重和分數(shù),而不是使用官方提供的默認值。如果確認權重的工作量過重,可以從定制CVSS環(huán)境和時間變量開始進行調整���,并把對權重的調整放到之后來做。
CVSS是強大的工具�����,提供大量的評估維度��。對那些想要快速獲取關于漏洞的簡要評分的人而言,CVSS能夠勝任�����。但快速和簡要的評估并不能滿足信息安全工作人員的需要����。每個公司都應該根據自身情況定制漏洞管理策略。概括性的評分可能有用�,但無法被優(yōu)化�����。
采取以下措施來讓CVSS更有效:
·理解公司暴露在風險中的方式。只有這樣才能理解CVSS��,并將其和漏洞管理項目綁定在一起����。
·確定公司的損失暴露情況。最終�����,修補漏洞缺陷這類努力的效果還是要反映到減少公司損失上�����。應當將注意力集中在漏洞對業(yè)務的影響上���。舉例而言�,在面向Web的系統(tǒng)上找的敏感信息泄露漏洞的優(yōu)先級應當大于那些并不面向外界的漏洞�。
·需要保證公司的漏洞評分并不基于CVSS默認設置。應當改變CVSS的環(huán)境和時間變量��,以獲得完整的分數(shù)��。
·如果公司同時遇到了兩個漏洞:一個CVSS得分很高,但還沒有被入侵;另一個CVSS得分很低,但已經被入侵。公司應當如何抉擇呢?公司越能把CVSS和漏洞管理項目綁定在一起,就越容易做出這類決斷�。盡管兩家公司都使用CVSS���,其對CVSS的利用深度可能完全不同��。對CVSS進行定制,可以盡可能地發(fā)揮評級系統(tǒng)的功能,允許企業(yè)作出更明智的判斷。
