我们在开车的时候使用道路导航系统,首先需要一张准确的电子地图作为参考。在当前的IT系统漏洞管理工作中,很多企业组织和安全厂商都在使用CVSS(InternationalCommonVulnerabilityScoringSystem)作为“参考地图”来指导相关工作的规划和实施。网络威胁情报平台Flashpoint在最新的《2022上半年网络安全漏洞威胁研究报告》(以下简称报告)中指出,如果CVSS漏洞评估机制误导安全人员,将导致企业将有限的漏洞管理资源投入到错误的漏洞修复任务中。但请忽略真正危及您的业务的漏洞。CVSS漏洞评估机制CVSS(CommonVulnerabilityScoringSystem)是由FIRST(IncidentResponseandSecurityTeamForum)创建,由美国国家漏洞数据库(NVD)维护的一套漏洞评估标准体系。帮助行业衡量漏洞危害严重程度,引导行业修复漏洞。应用CVSS评分机制评估新安全漏洞的危害时,通常从基础维度(BaseMetricGroup)、生命周期维度(TemporalMetricGroup)和环境维度(EnvironmentalMetricGroup)进行评估,生成0到10点之间的得分值以评估漏洞的严重性。基本维度评价是指脆弱性的固有特征,主要评价脆弱性本身的一些固有特征以及这些特征可能造成的影响。此特性不会随时间和用户环境而改变。基础评价是CVSS评分中最重要的指标。我们一般看到的CVSS分数是指漏洞的基础评估分数;生命周期维度评估主要衡量当前漏洞利用技术或代码可用性的状态,以及是否有补丁或解决方案或漏洞报告的可信度等,生命周期评估会随着时间而变化;环境维度评估使分析师能够根据受影响的IT资产对用户组织的重要性自定义CVSS分数,并根据组织基础设施中的组件案例分配分数。不可否认,CVSS评价指标在帮助安全人员更多地了解新漏洞的细节方面产生了很多积极的价值和帮助。但需要强调的是,CVSS评分只是一个指标,不能代替漏洞管理实践中的应用风险分析。但研究人员发现,目前很多企业过于关注CVSS漏洞的评估和披露,将评估分数作为制定漏洞修复优先级和行动计划的首要标准。这会产生风险和误导性的漏洞管理工作,因为漏洞的理论严重性通常与它可能给组织带来的实际风险不匹配。报告研究数据显示,在过去十年CVSS评分为10.0的所有“高危”漏洞中,有51.5%的漏洞危害描述不详,或无需披露,可见这些漏洞当时的评分并不准确,但这实际上可能会误导许多公司将注意力和资源投入到这些“虚假高风险”漏洞中。此外,报告数据还显示,2022年上半年报告的“在野漏洞”数量(指已被POE验证可利用,但尚未公开收录到漏洞库中的漏洞数量),或没有官方补丁,难以实现有效的安全控制)漏洞得分高出85%,表明攻击者实际上比CVSS分析表明的更频繁、更复杂地利用漏洞。关注漏洞可利用性报告研究人员认为,相比漏洞的CVSS评分,企业漏洞管理更应该关注和体现漏洞的可利用性指标。安全团队应该优先考虑业务需求,着眼于真正降低数字化业务发展中的安全风险,而不是盯着脱离实际的漏洞评估分数。对于安全管理团队而言,拥有漏洞赏金计划并定期进行渗透测试可以提高漏洞管理的有效性。研究人员指出,在实践中,最有害的漏洞通常具有三个特征:它们可以被远程利用、具有公开可用的利用代码以及具有实用的解决方案(例如补丁或升级)。这些漏洞应该放在清单的首位,因为它们带来的实际风险最大,但通常最容易修复。一旦这些漏洞得到解决,安全团队就可以使用基于风险的方法检查剩余的漏洞,该方法涉及根据业务需求确定风险资产的优先级,而不是盯着脱离实际的CVSS分数。图:2022年上半年漏洞调查分布开展更加主动的漏洞管理网络世界中,安全漏洞将长期存在。所谓安全,不仅仅指“安全”或“不安全”,还取决于企业发现漏洞和响应的速度,只有通过科学的手段实现高效的漏洞管理,网络系统才会变得更加安全和健壮。漏洞安全管理决策是通过抽象CVSS分值来做出的,这只会给企业带来一种虚假的安全感。如果这种情况已经存在,则应尽快修改漏洞管理策略和流程。虽然采用积极的漏洞补丁管理策略可能更具挑战性,但它对企业有很大帮助,因为漏洞披露通常会导致大量公共概念验证(POC),这些概念也被各种攻击者利用。使用。修复漏洞并不像按下“更新按钮”那么简单,整个过程可能需要数周甚至数月。对于企业安全管理者来说,在制定和实施漏洞管理计划时,首先需要明确如何判断一个漏洞管理项目的有效性?如何成功实施漏洞管理计划?很多时候,漏洞管理不仅仅是一个技术问题,而是一个综合性的企业管理问题。它应该是程序性的,包括计划、行动、协调、问责和持续改进。
