當(dāng)我們在駕駛中使用道路導(dǎo)航系統(tǒng)時，首先需要一張準(zhǔn)確的電子地圖來作為參照。而在目前的IT系統(tǒng)漏洞管理工作中，很多企業(yè)組織和安全廠商都在將CVSS(國際通用漏洞評分系統(tǒng)）作為一張“參考地圖”，來指導(dǎo)相關(guān)工作的計(jì)劃與實(shí)施。網(wǎng)絡(luò)威脅情報(bào)平臺Flashpoint在其最新開展的《2022上半年網(wǎng)絡(luò)安全漏洞威脅研究報(bào)告》（以下簡稱報(bào)告）中指出：如果CVSS漏洞評價(jià)機(jī)制誤導(dǎo)了安全人員，就會導(dǎo)致企業(yè)將有限的漏洞管理資源投入到錯誤的漏洞修補(bǔ)任務(wù)中，卻忽視那些真正危害業(yè)務(wù)的漏洞。

CVSS的漏洞評價(jià)機(jī)制

CVSS（Common Vulnerability Scoring System）是由FIRST（事件響應(yīng)與安全團(tuán)隊(duì)論壇）創(chuàng)建，并由美國國家漏洞庫（NVD）保持?jǐn)?shù)據(jù)日常維護(hù)更新的一套漏洞評價(jià)標(biāo)準(zhǔn)體系，主要目的是幫助行業(yè)衡量漏洞危害的嚴(yán)重程度，并指導(dǎo)行業(yè)進(jìn)行漏洞修復(fù)。應(yīng)用CVSS評分機(jī)制對新安全漏洞進(jìn)行危害性評價(jià)時，通常會從基礎(chǔ)維度（Base Metric Group）、生命周期維度(Temporal Metric Group)和環(huán)境維度（Environmental Metric Group）進(jìn)行評估，并生成一個0到10分之間的評分值來評估漏洞的嚴(yán)重程度。

• 基礎(chǔ)維度評價(jià)指的是一個漏洞的內(nèi)在特征，主要評估漏洞本身固有的一些特點(diǎn)及這些特點(diǎn)可能造成的影響。該特征不會隨時間和用戶環(huán)境而改變?；A(chǔ)評價(jià)是CVSS評分里最重要的一個指標(biāo)，我們一般看到的CVSS評分都是指漏洞的基礎(chǔ)評價(jià)得分；
• 生命周期維度評價(jià)主要衡量當(dāng)前利用技術(shù)或代碼可用性的狀態(tài)，是否存在任何補(bǔ)丁或解決方法或者漏洞報(bào)告的可信度等，生命周期評價(jià)會隨著時間的推移而改變；
• 環(huán)境維度評價(jià)使分析師能夠根據(jù)受影響的IT資產(chǎn)對用戶組織的重要性來定制CVSS評分，并根據(jù)組織基礎(chǔ)結(jié)構(gòu)中組件情況的分配分值。

不可否認(rèn)，CVSS評價(jià)指標(biāo)在幫助安全人員更多了解新漏洞的詳情信息時，產(chǎn)生了很多積極的價(jià)值和幫助。但需要強(qiáng)調(diào)的是，CVSS評分只是一個指標(biāo)，無法取代漏洞管理實(shí)踐中的應(yīng)用風(fēng)險(xiǎn)分析。而研究人員卻發(fā)現(xiàn)，目前很多企業(yè)過于關(guān)注CVSS漏洞評價(jià)與披露情況，并將其評價(jià)分值作為了制定漏洞修補(bǔ)的優(yōu)先級和行動計(jì)劃的首要標(biāo)準(zhǔn)。這就會給漏洞管理工作帶來很大的風(fēng)險(xiǎn)和誤導(dǎo)，因?yàn)槁┒蠢碚撋系膰?yán)重程度與它能給組織帶來的實(shí)際風(fēng)險(xiǎn)往往并不匹配。

正如報(bào)告研究數(shù)據(jù)所顯示的，在過去十年中被CVSS評分為10.0的所有“高危級”漏洞中，有51.5%的漏洞危害后果描述未能被詳細(xì)說明，或者并不需要披露，這說明這些漏洞當(dāng)時的評分并不準(zhǔn)確，但這可能實(shí)際誤導(dǎo)了很多企業(yè)對這些“虛假高?！甭┒吹年P(guān)注和資源投入。

此外，報(bào)告數(shù)據(jù)還顯示，2022年上半年報(bào)告的“在野漏洞”（指已被POE驗(yàn)證可利用，但還沒有公開收入到漏洞庫，或沒有官方補(bǔ)丁，難以實(shí)現(xiàn)有效安全控制的漏洞）數(shù)量比已給出評分的漏洞多出85%，這表明攻擊者實(shí)際利用漏洞的情況比CVSS分析評價(jià)的要更加頻繁和復(fù)雜。

重點(diǎn)關(guān)注漏洞的可利用性

報(bào)告研究人員認(rèn)為，相比于漏洞的CVSS評分值，其實(shí)漏洞的可利用性指標(biāo)更應(yīng)該在企業(yè)漏洞管理工作中得到關(guān)注和體現(xiàn)。安全團(tuán)隊(duì)?wèi)?yīng)該優(yōu)先考慮業(yè)務(wù)需求，實(shí)際減少數(shù)字化業(yè)務(wù)開展中的安全風(fēng)險(xiǎn)為目標(biāo)，而不是盯著脫離實(shí)際情況的漏洞評價(jià)分?jǐn)?shù)。

對安全管理團(tuán)隊(duì)而言，制定漏洞懸賞計(jì)劃和開展定期的滲透測試可以提高漏洞管理的有效性。研究人員指出，在實(shí)際應(yīng)用中，危害性最強(qiáng)的漏洞通常會具有三個特征：可以被遠(yuǎn)程利用、有公開漏洞利用代碼，以及有切實(shí)可行的解決方案（比如補(bǔ)丁或升級）。這些漏洞應(yīng)該列在排查清單的首位，因?yàn)樗鼈儤?gòu)成的實(shí)際風(fēng)險(xiǎn)最大，但是往往又最容易修復(fù)。一旦解決了這些漏洞，安全團(tuán)隊(duì)就可以使用基于風(fēng)險(xiǎn)的方法檢查其余漏洞，這是需要根據(jù)業(yè)務(wù)需求優(yōu)先考慮面臨風(fēng)險(xiǎn)的資產(chǎn)，而不是盯著脫離實(shí)際情況的CVSS分?jǐn)?shù)。

圖：2022上半年漏洞排查分布情況

開展更積極的漏洞管理

在網(wǎng)絡(luò)世界中，安全漏洞將會長期存在，所謂的安全性不僅是指“安全”或“不安全”，而是還取決于企業(yè)發(fā)現(xiàn)漏洞并進(jìn)行響應(yīng)的速度，只有通過科學(xué)的手段實(shí)現(xiàn)高效漏洞管理，網(wǎng)絡(luò)系統(tǒng)才會變得更加安全與健壯。

通過抽象CVSS評分值來做出漏洞安全管理的決策，這只會給企業(yè)帶來虛假的安全感，如果這種情況已經(jīng)存在，應(yīng)該盡快修改漏洞管理策略與流程。盡管采用積極的漏洞補(bǔ)丁管理策略會更具挑戰(zhàn)，但是卻會給企業(yè)帶來很多幫助，因?yàn)槁┒磁吨笸ǔl(fā)大量的公共概念證明（POC），這些POC也同樣會被各種攻擊者所利用。修復(fù)漏洞并不只是摁下“更新按鈕”那么簡單，整個過程可能需要數(shù)周、甚至數(shù)月。

對于企業(yè)安全管理人員來說，在制定和實(shí)施漏洞管理計(jì)劃時，首先需要明確一點(diǎn)，如何判斷漏洞管理項(xiàng)目的有效性？如何成功實(shí)施漏洞管理項(xiàng)目？很多時候，漏洞管理不僅僅是一個技術(shù)問題而是企業(yè)綜合管理問題，它應(yīng)該是程序化的，包含計(jì)劃、行動、協(xié)同、問責(zé)和持續(xù)改進(jìn)。