對(duì)任何處理軟件漏洞的人而言,CVE和CVSS通常是尋找細(xì)節(jié)過程中的第一步,通過這兩步,人們可以發(fā)現(xiàn)有關(guān)漏洞的全部細(xì)節(jié)。
通用漏洞評(píng)分系統(tǒng)(CVSS)誕生于2007年,是用于評(píng)估系統(tǒng)安全漏洞嚴(yán)重程度的一個(gè)行業(yè)公開標(biāo)準(zhǔn)。CVSS現(xiàn)在已經(jīng)進(jìn)入第二個(gè)版本,第三版正在開發(fā)中。它的主要目的是幫助人們建立衡量漏洞嚴(yán)重程度的標(biāo)準(zhǔn),使得人們可以比較漏洞的嚴(yán)重程度,從而確定處理它們的優(yōu)先級(jí)。CVSS得分基于一系列維度上的測(cè)量結(jié)果,這些測(cè)量維度被稱為量度(Metrics)。漏洞的最終得分最大為10,最小為0。得分7~10的漏洞通常被認(rèn)為比較嚴(yán)重,得分在4~6.9之間的是中級(jí)漏洞,0~3.9的則是低級(jí)漏洞。
大多數(shù)商業(yè)化漏洞管理軟件都以CVSS為基礎(chǔ),因此各企業(yè)看待漏洞的視角通常是從CVSS得分出發(fā)。盡管CVSS在快速進(jìn)行漏洞優(yōu)先級(jí)排序和甄別漏洞方面效果顯著,其排序速度往往基于企業(yè)對(duì)其進(jìn)行本地化配置的情況。
CVSS是強(qiáng)大的監(jiān)測(cè)工具,但進(jìn)行評(píng)分所依賴的所有量度都是很籠統(tǒng)的。為了達(dá)到最高的監(jiān)測(cè)效率,需要根據(jù)具體環(huán)境對(duì)CVSS進(jìn)行本地化配置。但現(xiàn)實(shí)是,大多數(shù)企業(yè)病不這樣做。它們直接使用Rapid7、Qualys、Tenable公司的信息,并不根據(jù)企業(yè)的特定環(huán)境和特定風(fēng)險(xiǎn)進(jìn)行專門配置。
舉例而言,Rapid7公司在談及CVSS時(shí)直率地表示,CVSS基本量度只評(píng)估漏洞的潛在風(fēng)險(xiǎn),在評(píng)估過程中并不需要收集時(shí)間和環(huán)境數(shù)據(jù)。因此,通過CVSS基本量度得出的漏洞評(píng)分并未考慮到全公司上下的整體情況。
從嚴(yán)格意義上來講,CVSS評(píng)分并不代表具體事件可能發(fā)生的概率。它只代表了公司被入侵成功的概率。
CXOWare公司董事長(zhǎng)、《衡量與管理信息風(fēng)險(xiǎn)》一書合作者杰克·瓊斯(Jack Jones)在近期召開的“信息安全世界”大會(huì)上發(fā)表了一些有關(guān)CVSS的批評(píng)言論。
CVSS是很有潛力的工具,但人們對(duì)它知之甚少。大多數(shù)公司使用CVSS的方式都不對(duì)。
瓊斯并不是CVSS的唯一批評(píng)者。有些人認(rèn)為,CVSS在將安全風(fēng)險(xiǎn)公式化方面做得并不好,而且其評(píng)估漏洞風(fēng)險(xiǎn)的過程可能過于復(fù)雜。
另一個(gè)問題在于,CVSS通常被用于漏洞評(píng)分,進(jìn)而與風(fēng)險(xiǎn)度量模塊結(jié)合。結(jié)果是,這樣浪費(fèi)了資源,公司沒辦法甄別出最重要的安全問題。
瓊斯對(duì)CVSS的主要疑慮來源于該系統(tǒng)的加權(quán)模式。CVSS的說明文檔中并不包括確定權(quán)重分配的內(nèi)在邏輯,因此,用戶是在并不理解原理的前提下使用CVSS的。根據(jù)瓊斯的個(gè)人經(jīng)驗(yàn),這些權(quán)重往往只適用于一小部分特殊情況,而對(duì)大多數(shù)安全事件沒有概括能力。如果考慮到描述上的歧義、限制范圍、應(yīng)用情景,在有些情況下得到的CVSS評(píng)分可能完全沒有意義。既然用戶都在使用這些權(quán)重值,開發(fā)者應(yīng)當(dāng)至少提供一些合適的說明,以讓用戶在知情狀態(tài)下決定何時(shí)使用這些權(quán)值。
設(shè)計(jì)和實(shí)現(xiàn)情況是評(píng)價(jià)CVSS這樣的統(tǒng)計(jì)學(xué)工具的唯一指標(biāo)。在近期發(fā)售的新書《統(tǒng)計(jì)學(xué)錯(cuò)了》中,作者寫道:即使是在那些最智慧的使用者手里,統(tǒng)計(jì)學(xué)也經(jīng)常是錯(cuò)的。科學(xué)家們大范圍地錯(cuò)誤使用統(tǒng)計(jì)學(xué),令人吃驚。對(duì)于使用CVSS的用戶而言,我們應(yīng)該再次強(qiáng)調(diào)此書作者的觀點(diǎn)。
CVSS分?jǐn)?shù)計(jì)算器允許用戶對(duì)權(quán)重進(jìn)行自定義設(shè)置,以適應(yīng)用戶本公司的環(huán)境。不過,大多數(shù)公司還是使用標(biāo)準(zhǔn)的CVSS權(quán)重,并不會(huì)進(jìn)行手動(dòng)定制。事實(shí)上,每個(gè)公司都應(yīng)當(dāng)根據(jù)自身情況確定權(quán)重和分?jǐn)?shù),而不是使用官方提供的默認(rèn)值。如果確認(rèn)權(quán)重的工作量過重,可以從定制CVSS環(huán)境和時(shí)間變量開始進(jìn)行調(diào)整,并把對(duì)權(quán)重的調(diào)整放到之后來做。
CVSS是強(qiáng)大的工具,提供大量的評(píng)估維度。對(duì)那些想要快速獲取關(guān)于漏洞的簡(jiǎn)要評(píng)分的人而言,CVSS能夠勝任。但快速和簡(jiǎn)要的評(píng)估并不能滿足信息安全工作人員的需要。每個(gè)公司都應(yīng)該根據(jù)自身情況定制漏洞管理策略。概括性的評(píng)分可能有用,但無法被優(yōu)化。
采取以下措施來讓CVSS更有效:
·理解公司暴露在風(fēng)險(xiǎn)中的方式。只有這樣才能理解CVSS,并將其和漏洞管理項(xiàng)目綁定在一起。
·確定公司的損失暴露情況。最終,修補(bǔ)漏洞缺陷這類努力的效果還是要反映到減少公司損失上。應(yīng)當(dāng)將注意力集中在漏洞對(duì)業(yè)務(wù)的影響上。舉例而言,在面向Web的系統(tǒng)上找的敏感信息泄露漏洞的優(yōu)先級(jí)應(yīng)當(dāng)大于那些并不面向外界的漏洞。
·需要保證公司的漏洞評(píng)分并不基于CVSS默認(rèn)設(shè)置。應(yīng)當(dāng)改變CVSS的環(huán)境和時(shí)間變量,以獲得完整的分?jǐn)?shù)。
·如果公司同時(shí)遇到了兩個(gè)漏洞:一個(gè)CVSS得分很高,但還沒有被入侵;另一個(gè)CVSS得分很低,但已經(jīng)被入侵。公司應(yīng)當(dāng)如何抉擇呢?公司越能把CVSS和漏洞管理項(xiàng)目綁定在一起,就越容易做出這類決斷。盡管兩家公司都使用CVSS,其對(duì)CVSS的利用深度可能完全不同。對(duì)CVSS進(jìn)行定制,可以盡可能地發(fā)揮評(píng)級(jí)系統(tǒng)的功能,允許企業(yè)作出更明智的判斷。
原文地址:http://www.aqniu.com/neo-points/7524.html
京公網(wǎng)安備 11010502049343號(hào)