對任何處理軟件漏洞的人而言，CVE和CVSS通常是尋找細(xì)節(jié)過程中的第一步，通過這兩步，人們可以發(fā)現(xiàn)有關(guān)漏洞的全部細(xì)節(jié)。

通用漏洞評分系統(tǒng)(CVSS)誕生于2007年，是用于評估系統(tǒng)安全漏洞嚴(yán)重程度的一個(gè)行業(yè)公開標(biāo)準(zhǔn)。CVSS現(xiàn)在已經(jīng)進(jìn)入第二個(gè)版本，第三版正在開發(fā)中。它的主要目的是幫助人們建立衡量漏洞嚴(yán)重程度的標(biāo)準(zhǔn)，使得人們可以比較漏洞的嚴(yán)重程度，從而確定處理它們的優(yōu)先級。CVSS得分基于一系列維度上的測量結(jié)果，這些測量維度被稱為量度(Metrics)。漏洞的最終得分最大為10，最小為0。得分7~10的漏洞通常被認(rèn)為比較嚴(yán)重，得分在4~6.9之間的是中級漏洞，0~3.9的則是低級漏洞。

大多數(shù)商業(yè)化漏洞管理軟件都以CVSS為基礎(chǔ)，因此各企業(yè)看待漏洞的視角通常是從CVSS得分出發(fā)。盡管CVSS在快速進(jìn)行漏洞優(yōu)先級排序和甄別漏洞方面效果顯著，其排序速度往往基于企業(yè)對其進(jìn)行本地化配置的情況。

CVSS是強(qiáng)大的監(jiān)測工具，但進(jìn)行評分所依賴的所有量度都是很籠統(tǒng)的。為了達(dá)到最高的監(jiān)測效率，需要根據(jù)具體環(huán)境對CVSS進(jìn)行本地化配置。但現(xiàn)實(shí)是，大多數(shù)企業(yè)病不這樣做。它們直接使用Rapid7、Qualys、Tenable公司的信息，并不根據(jù)企業(yè)的特定環(huán)境和特定風(fēng)險(xiǎn)進(jìn)行專門配置。

舉例而言，Rapid7公司在談及CVSS時(shí)直率地表示，CVSS基本量度只評估漏洞的潛在風(fēng)險(xiǎn)，在評估過程中并不需要收集時(shí)間和環(huán)境數(shù)據(jù)。因此，通過CVSS基本量度得出的漏洞評分并未考慮到全公司上下的整體情況。

從嚴(yán)格意義上來講，CVSS評分并不代表具體事件可能發(fā)生的概率。它只代表了公司被入侵成功的概率。

CXOWare公司董事長、《衡量與管理信息風(fēng)險(xiǎn)》一書合作者杰克·瓊斯(Jack Jones)在近期召開的“信息安全世界”大會上發(fā)表了一些有關(guān)CVSS的批評言論。

CVSS是很有潛力的工具，但人們對它知之甚少。大多數(shù)公司使用CVSS的方式都不對。

瓊斯并不是CVSS的唯一批評者。有些人認(rèn)為，CVSS在將安全風(fēng)險(xiǎn)公式化方面做得并不好，而且其評估漏洞風(fēng)險(xiǎn)的過程可能過于復(fù)雜。

另一個(gè)問題在于，CVSS通常被用于漏洞評分，進(jìn)而與風(fēng)險(xiǎn)度量模塊結(jié)合。結(jié)果是，這樣浪費(fèi)了資源，公司沒辦法甄別出最重要的安全問題。

瓊斯對CVSS的主要疑慮來源于該系統(tǒng)的加權(quán)模式。CVSS的說明文檔中并不包括確定權(quán)重分配的內(nèi)在邏輯，因此，用戶是在并不理解原理的前提下使用CVSS的。根據(jù)瓊斯的個(gè)人經(jīng)驗(yàn)，這些權(quán)重往往只適用于一小部分特殊情況，而對大多數(shù)安全事件沒有概括能力。如果考慮到描述上的歧義、限制范圍、應(yīng)用情景，在有些情況下得到的CVSS評分可能完全沒有意義。既然用戶都在使用這些權(quán)重值，開發(fā)者應(yīng)當(dāng)至少提供一些合適的說明，以讓用戶在知情狀態(tài)下決定何時(shí)使用這些權(quán)值。

設(shè)計(jì)和實(shí)現(xiàn)情況是評價(jià)CVSS這樣的統(tǒng)計(jì)學(xué)工具的唯一指標(biāo)。在近期發(fā)售的新書《統(tǒng)計(jì)學(xué)錯(cuò)了》中，作者寫道：即使是在那些最智慧的使用者手里，統(tǒng)計(jì)學(xué)也經(jīng)常是錯(cuò)的?？茖W(xué)家們大范圍地錯(cuò)誤使用統(tǒng)計(jì)學(xué)，令人吃驚。對于使用CVSS的用戶而言，我們應(yīng)該再次強(qiáng)調(diào)此書作者的觀點(diǎn)。

CVSS分?jǐn)?shù)計(jì)算器允許用戶對權(quán)重進(jìn)行自定義設(shè)置，以適應(yīng)用戶本公司的環(huán)境。不過，大多數(shù)公司還是使用標(biāo)準(zhǔn)的CVSS權(quán)重，并不會進(jìn)行手動定制。事實(shí)上，每個(gè)公司都應(yīng)當(dāng)根據(jù)自身情況確定權(quán)重和分?jǐn)?shù)，而不是使用官方提供的默認(rèn)值。如果確認(rèn)權(quán)重的工作量過重，可以從定制CVSS環(huán)境和時(shí)間變量開始進(jìn)行調(diào)整，并把對權(quán)重的調(diào)整放到之后來做。

CVSS是強(qiáng)大的工具，提供大量的評估維度。對那些想要快速獲取關(guān)于漏洞的簡要評分的人而言，CVSS能夠勝任。但快速和簡要的評估并不能滿足信息安全工作人員的需要。每個(gè)公司都應(yīng)該根據(jù)自身情況定制漏洞管理策略。概括性的評分可能有用，但無法被優(yōu)化。

采取以下措施來讓CVSS更有效：

·理解公司暴露在風(fēng)險(xiǎn)中的方式。只有這樣才能理解CVSS，并將其和漏洞管理項(xiàng)目綁定在一起。

·確定公司的損失暴露情況。最終，修補(bǔ)漏洞缺陷這類努力的效果還是要反映到減少公司損失上。應(yīng)當(dāng)將注意力集中在漏洞對業(yè)務(wù)的影響上。舉例而言，在面向Web的系統(tǒng)上找的敏感信息泄露漏洞的優(yōu)先級應(yīng)當(dāng)大于那些并不面向外界的漏洞。

·需要保證公司的漏洞評分并不基于CVSS默認(rèn)設(shè)置。應(yīng)當(dāng)改變CVSS的環(huán)境和時(shí)間變量，以獲得完整的分?jǐn)?shù)。

·如果公司同時(shí)遇到了兩個(gè)漏洞：一個(gè)CVSS得分很高，但還沒有被入侵;另一個(gè)CVSS得分很低，但已經(jīng)被入侵。公司應(yīng)當(dāng)如何抉擇呢?公司越能把CVSS和漏洞管理項(xiàng)目綁定在一起，就越容易做出這類決斷。盡管兩家公司都使用CVSS，其對CVSS的利用深度可能完全不同。對CVSS進(jìn)行定制，可以盡可能地發(fā)揮評級系統(tǒng)的功能，允許企業(yè)作出更明智的判斷。

原文地址：http://www.aqniu.com/neo-points/7524.html