FIRST近日推出了业界瞩目的新版通用漏洞评分系统(CVSS 4.0)。CVSS对于安全厂商和用户至关重要,它提供了一种捕获安全漏洞主要特征的方法,生成反映漏洞技术严重性的评分,以便为企业、厂商、政府和公众提供信息和指导。

企业信息基础设施中的开放漏洞是当下恶意攻击(包括勒索软件)最广泛利用的“盗火线”。

而CVSS的漏洞严重性评级(例如低、中、高危和严重)和评分,可以帮助企业正确评估其漏洞管理流程并确定其优先级,并准备防御网络攻击。

CVSS的一次重大更新

过去十几年中,随着漏洞数量和新兴威胁的快速增长,基于CVSS评分的漏洞管理已经暴露出大量问题,越来越多的人开始批评CVSS并不能准确评估漏洞的真实风险,也无法用于确定修复优先级。甚至一些安全研究人员发现社交传播数据统计(例如twitter曝光率)都能比CVSS更准确地反应漏洞的可利用性。

此外,还普遍存在企业自身漏洞管理效率低下的问题。例如,虽然许多企业和机构定期开展漏洞评估活动,例如每两周、每月或每季度执行一次扫描,但常规漏洞评估可能需要数月才能完成,最终为攻击者留下了巨大的漏洞利用敞口。企业亟需开发自动化程序实时管理漏洞和攻击面,CVSS也面临巨大的变革压力。

CVSS4.0正是针对上述漏洞管理痛点的重大更新,该系统允许用户评估实时威胁和影响,为行业和公众提供“高保真的漏洞评估”。

CVSS4.0为用户提供了更细粒度的基本指标,消除了下游评分的模糊性,简化了威胁指标,并提高了评估特定环境安全要求以及缓解控制的有效性。

此外,CVSS4.0还添加了漏洞评估的几个补充属性,包括可自动化、恢复、价值密度、漏洞响应工作量和提供商紧迫性。还增加了对物联网和工控网络(OT/ICS/IoT)的适用性,将相关安全指标和评分添加到补充指标组和环境指标组中。

CVSS 4.0之路

随着威胁的不断增长,新发布的CVSS 4.0有望成为网络安全行业的游戏规则改变者。

2005年之前,在确定需要对跨软件和平台的漏洞测量进行标准化之前,业界会使用自定义的、不兼容的评级系统来定义严重性。CVSS第1版于2005年2月发布,当时由少数先驱开发,旨在全行业范围内采用,并于当年4月指定FIRST来推动该工具的未来发展,最终成为网络安全行业的重要工具。

CVSS特别兴趣小组(SIG)的十多名FIRST成员在2006年和2007年进行了广泛合作,通过测试和重新测试数百个实际漏洞来修订和改进CVSS 1.0版本,并于2007年6月发布了版本2.0。

CVSS3.0版本于2015年进一步开发了该工具,引入了“范围”的概念,以处理一个软件组件中存在但仅影响单独软件、硬件或网络组件的漏洞的评分。

2019年6月CVSS3.1版本发布,对3.0版本进行了澄清和改进,但没有引入新的指标或值,提高了概念的清晰度,提高了标准的整体易用性,并添加了CVSS扩展框架。

最新发布的CVSS4.0版本实现了重大升级,增加了对安全团队至关重要的功能,使用威胁情报和环境指标来提高评分准确性,标志着CVSS向前迈出了重要的一步。

另一个值得注意的新增功能是命名法。CVSS不仅仅是单一的基本分数,为了进一步强调这一点,4.0版本明确定义了新的评分体系术语:

CVSS-B:CVSS基本分数

CVSS-BT:CVSS基础+威胁评分

CVSS-BE:CVSS基础+环境分数

CVSS-BTE:CVSS基础+威胁+环境评分

全球公测CVSS 4.0

随着网络安全威胁在全球范围内持续迅猛增长,全球性的协调和参与对于确保互联网的整体安全性变得至关重要。

CVSS 4.0能否改变网络安全运营的游戏规则,掀起一场漏洞管理的革命?这个问题依然需要在实践中检验。据悉,在CVSS4.0正式发布之前,全球900强企业中的很多用户已经开始了测试工作。

FIRST首席执行官Chris Gibson评论道:“CVSS系统在过去18年中发展迅速,每个版本都建立在我们防御网络犯罪的能力之上。我为CVSS-SIG开发4.0版本所付出的辛勤工作和奉献精神感到无比自豪。这是及时的,因为世界各地的安全威胁正显著增加。”

声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。