本文講的是如何正確對待cvss,對任何處理軟體漏洞的人而言,cve和cvss通常是尋找細節過程中的第一步,通過這兩步,人們可以發現有關漏洞的全部細節。
通用漏洞評分系統(cvss)誕生於2023年,是用於評估系統安全漏洞嚴重程度的乙個行業公開標準。cvss現在已經進入第二個版本,第三版正在開發中。它的主要目的是幫助人們建立衡量漏洞嚴重程度的標準,使得人們可以比較漏洞的嚴重程度,從而確定處理它們的優先順序。cvss得分基於一系列維度上的測量結果,這些測量維度被稱為量度(metrics)。漏洞的最終得分最大為10,最小為0。得分7~10的漏洞通常被認為比較嚴重,得分在4~6.9之間的是中級漏洞,0~3.9的則是低階漏洞。
大多數商業化漏洞管理軟體都以cvss為基礎,因此各企業看待漏洞的視角通常是從cvss得分出發。儘管cvss在快速進行漏洞優先順序排序和甄別漏洞方面效果顯著,其排序速度往往基於企業對其進行本地化配置的情況。
cvss是強大的監測工具,但進行評分所依賴的所有量度都是很籠統的。為了達到最高的監測效率,需要根據具體環境對cvss進行本地化配置。但現實是,大多數企業病不這樣做。它們直接使用rapid7、qualys、tenable公司的資訊,並不根據企業的特定環境和特定風險進行專門配置。
舉例而言,rapid7公司在談及cvss時直率地表示,cvss基本量度只評估漏洞的潛在風險,在評估過程中並不需要收集時間和環境資料。因此,通過cvss基本量度得出的漏洞評分並未考慮到全公司上下的整體情況。
從嚴格意義上來講,cvss評分並不代表具體事件可能發生的概率。它只代表了公司被入侵成功的概率。
cxoware公司董事長、《衡量與管理資訊風險》一書合作者傑克·瓊斯(jack jones)在近期召開的「資訊保安世界」大會上發表了一些有關cvss的批評言論。
cvss是很有潛力的工具,但人們對它知之甚少。大多數公司使用cvss的方式都不對。
瓊斯並不是cvss的唯一批評者。有些人認為,cvss在將安全風險公式化方面做得並不好,而且其評估漏洞風險的過程可能過於複雜。
另乙個問題在於,cvss通常被用於漏洞評分,進而與風險度量模組結合。結果是,這樣浪費了資源,公司沒辦法甄別出最重要的安全問題。
瓊斯對cvss的主要疑慮**於該系統的加權模式。cvss的說明文件中並不包括確定權重分配的內在邏輯,因此,使用者是在並不理解原理的前提下使用cvss的。根據瓊斯的個人經驗,這些權重往往只適用於一小部分特殊情況,而對大多數安全事件沒有概括能力。如果考慮到描述上的歧義、限制範圍、應用情景,在有些情況下得到的cvss評分可能完全沒有意義。既然使用者都在使用這些權重值,開發者應當至少提供一些合適的說明,以讓使用者在知情狀態下決定何時使用這些權值。
設計和實現情況是評價cvss這樣的統計學工具的唯一指標。在近期發售的新書《統計學錯了》中,作者寫道:即使是在那些最智慧型的使用者手裡,統計學也經常是錯的。科學家們大範圍地錯誤使用統計學,令人吃驚。對於使用cvss的使用者而言,我們應該再次強調此書作者的觀點。
cvss分數計算器允許使用者對權重進行自定義設定,以適應使用者本公司的環境。不過,大多數公司還是使用標準的cvss權重,並不會進行手動定製。事實上,每個公司都應當根據自身情況確定權重和分數,而不是使用官方提供的預設值。如果確認權重的工作量過重,可以從定製cvss環境和時間變數開始進行調整,並把對權重的調整放到之後來做。
cvss是強大的工具,提供大量的評估維度。對那些想要快速獲取關於漏洞的簡要評分的人而言,cvss能夠勝任。但快速和簡要的評估並不能滿足資訊保安工作人員的需要。每個公司都應該根據自身情況定製漏洞管理策略。概括性的評分可能有用,但無法被優化。
採取以下措施來讓cvss更有效:
·理解公司暴露在風險中的方式。只有這樣才能理解cvss,並將其和漏洞管理專案繫結在一起。
·確定公司的損失暴露情況。最終,修補漏洞缺陷這類努力的效果還是要反映到減少公司損失上。應當將注意力集中在漏洞對業務的影響上。舉例而言,在面向web的系統上找的敏感資訊洩露漏洞的優先順序應當大於那些並不面向外界的漏洞。
·需要保證公司的漏洞評分並不基於cvss預設設定。應當改變cvss的環境和時間變數,以獲得完整的分數。
·如果公司同時遇到了兩個漏洞:乙個cvss得分很高,但還沒有被入侵;另乙個cvss得分很低,但已經被入侵。公司應當如何抉擇呢?
公司越能把cvss和漏洞管理專案繫結在一起,就越容易做出這類決斷。儘管兩家公司都使用cvss,其對cvss的利用深度可能完全不同。對cvss進行定製,可以盡可能地發揮評級系統的功能,允許企業作出更明智的判斷。
如何正確對待通用安全漏洞評分系統 CVSS
對任何處理軟體漏洞的人而言,cve和cvss通常是尋找細節過程中的第一步,通過這兩步,人們可以發現有關漏洞的全部細節。通用漏洞評分系統 cvss 誕生於2007年,是用於評估系統安全漏洞嚴重程度的乙個行業公開標準。cvss現在已經進入第二個版本,第三版正在開發中。它的主要目的是幫助人們建立衡量漏洞嚴...
正確對待大學課程
不知不覺,進入藍傑已經 半個學期了。半個學期的學習,收穫到了許多,技術啊 朋友啊,都有。藍傑的學習也挺有趣的,熊哥 飛哥 陳哥講技術,胡哥講雞湯,講思想。胡哥常問我們 同樣都是敲hello word!為什麼清華北大的就比我們強呢?當時一聽到這個問題,想了許久,也想不出原因。這段時間也聽了胡哥的多次雞...
怎麼正確的使用網路 如何引導孩子正確對待和使用網路
因此,我們要用未來的眼光來看待孩子們在網路上的學習和使用。但令人擔憂的是,現在的孩子作業都沒做完,心裡就已經想著等會拿手機打什麼遊戲了。沒有正確的對待網路,才是家長不放心的地方。手機與網路是資源寶庫還是洪水猛獸 在傳統的家庭教育格局中,家長是孩子的百科全書,在紙質 時代,孩子有任何知識方面的問題,都...