隨著漏洞披露量的持續(xù)增長和攻擊復雜性的提升，準確的風險評估對于企業(yè)防御和漏洞修復至關(guān)重要。在近日舉行的Black Hat歐洲大會上，金融巨頭摩根大通的網(wǎng)絡(luò)安全專家發(fā)出警告：當前廣泛使用的漏洞嚴重性評估系統(tǒng)——通用漏洞評分系統(tǒng)（CVSS）存在重大缺陷，可能導致安全團隊對漏洞風險誤判，從而延長漏洞的暴露時間，增加組織面臨的風險。

CVSS漏洞評分的誤導性風險

CVSS是一種行業(yè)標準方法，通過量化指標評估軟件和硬件漏洞的嚴重性。然而，摩根大通的專家在演講中指出，CVSS在現(xiàn)實風險的反映上存在多重問題，導致企業(yè)在修復優(yōu)先級的排序上可能做出錯誤決策。這些問題具體如下：

缺乏情境因素的考量

CVSS評分未充分考慮漏洞所處的環(huán)境。例如，一個漏洞是否已被“野外利用”（actively exploited），或其對具體組織的風險優(yōu)先級，往往被忽略。摩根大通指出，CVSS對保密性、完整性和可用性這三個維度給予了等權(quán)處理，卻未能適應(yīng)各個組織的獨特需求，也未能充分體現(xiàn)漏洞的真實影響。

10%的漏洞被低估

2023年，全球平均每天披露80個漏洞，同比增幅約20%。其中，約18%的漏洞被評為嚴重（CVSS評分9或以上）。然而，摩根大通的分析表明，大約10%的漏洞可能被低估，未能體現(xiàn)其潛在的破壞性。

研究人員提到，許多被低估的漏洞可能帶來嚴重的安全后果。例如，CVE-2020-8187是Citrix NetScaler中一個分布式拒絕服務(wù)（DDoS）漏洞，其CVSS評分僅為7.5。然而，這一漏洞在COVID-19疫情期間暴露時，有可能導致企業(yè)業(yè)務(wù)全面癱瘓。

類似地，Zoom的CVE-2019-13450漏洞（允許未經(jīng)用戶同意打開攝像頭）被評定為中等風險。然而，該漏洞的實際影響包括隱私侵犯、安全風險，以及法律與聲譽后果，遠超這一評分所反映的風險級別。

依賴關(guān)系與權(quán)限的忽視

CVSS未充分考慮漏洞的依賴關(guān)系及特定配置要求。某些漏洞需要特定的硬件或軟件配置才能被利用，而訪問控制或用戶權(quán)限的設(shè)定會顯著影響攻擊者的利用能力。例如，攻擊者對系統(tǒng)的實際影響可能因權(quán)限設(shè)置而大幅變化，但這些因素在CVSS評分中的反映極為有限。

CVSS 4.0：改進與不足

CVSS 4.0框架即將推出，新增了影響指標、時間維度的優(yōu)化，以及輔助評分指標，以期提高評估的準確性。然而，摩根大通專家指出，4.0版本仍未解決幾個核心問題：

隱私問題的忽視：CVSS評分中的“保密性”指標過于通用，無法準確體現(xiàn)漏洞對隱私的具體影響。

高級持續(xù)性威脅（APT）的考量不足：CVSS評分未能充分體現(xiàn)漏洞與APT攻擊之間的關(guān)聯(lián)性。

依賴關(guān)系與可利用性權(quán)重不足：攻擊者對漏洞的利用能力與環(huán)境配置的關(guān)聯(lián)未被適當體現(xiàn)。

摩根大通提出改進框架

為了彌補CVSS現(xiàn)有的不足，摩根大通開發(fā)了一種新的漏洞評估框架。該框架納入了以下改進要素：

• 權(quán)重分配：增加對APT關(guān)聯(lián)性和漏洞利用難度的權(quán)重考量。
• 依賴分析：將漏洞的依賴性和環(huán)境條件納入風險評估。
• 隱私影響評估：增強對數(shù)據(jù)泄露和隱私風險的重視。

這一概念框架已向網(wǎng)絡(luò)安全社區(qū)公開，摩根大通呼吁其他安全組織共同參與完善，以推動行業(yè)標準的改進。

新方法并非萬靈藥

摩根大通首席安全架構(gòu)師Syed Islam在接受采訪時表示，網(wǎng)絡(luò)安全行業(yè)亟需一個更科學、更全面的漏洞評估體系，以應(yīng)對復雜的威脅格局。但是，只有具備一定安全成熟度的組織才能充分受益于這種新的評估方法。例如，這些組織需要建立全面的技術(shù)和應(yīng)用清單，以明確其業(yè)務(wù)依賴的核心系統(tǒng)和資產(chǎn)。

對于安全能力較弱的組織，Islam建議逐步提高其安全治理水平，從完善資產(chǎn)管理和漏洞響應(yīng)流程開始。