如何使用通用漏洞评分系统(CVSS).细节。通用漏洞评分系统(CommonVulnerabilityScoringSystem,CVSS)诞生于2007年,是评估系统安全漏洞严重程度的行业开放标准。CVSS现在是第二个版本,第三个版本正在开发中。它的主要目的是帮助人们建立衡量漏洞严重程度的标准,从而使人们能够比较漏洞的严重程度并确定处理漏洞的优先级。CVSS分数基于对称为指标的一系列维度的测量。漏洞的最终评分最高为10分,最低为0分。7-10分的漏洞一般被认为是较严重的漏洞,4-6.9分的漏洞属于中等级别的漏洞,0-3.9是低级漏洞。大多数商业漏洞管理软件都是基于CVSS的,因此企业通常会从CVSS分数的角度来看待漏洞。虽然CVSS在快速确定漏洞优先级和识别漏洞方面非常有效,但其速度通常取决于企业在本地的配置方式。CVSS是一个强大的监控工具,但评分所依据的所有指标都非常笼统。为了达到最高的监控效率,需要根据具体环境在本地配置CVSS。但现实情况是,大多数企业并没有这样做。它们直接使用来自Rapid7、Qualys和Tenable公司的信息,并没有根据企业的具体环境和具体风险进行专门配置。比如在谈到CVSS时,Rapid7直言CVSS的基本指标只是评估漏洞的潜在风险,评估过程中不需要收集时间和环境数据。因此,从CVSS基本指标得出的漏洞评分没有考虑到整个公司的情况。严格来说,CVSS分数并不代表特定事件可能发生的概率。它只代表公司被黑客攻击成功的概率。CXOWare董事长、《衡量与管理信息风险》一书的合著者杰克琼斯在最近的“信息安全世界”大会上对CVSS发表了一些批评言论。CVSS是一个具有巨大潜力的工具,但人们对它知之甚少。大多数公司使用CVSS的方式是错误的。琼斯并不是CVSS的唯一批评者。一些人认为CVSS在制定安全风险方面做得很差,其评估漏洞风险的过程可能过于复杂。另一个问题是CVSS通常用于漏洞评分,然后与风险度量模块结合使用。结果,资源被浪费,公司未能识别最重要的安全问题。Jones对CVSS的主要关注源于系统的权重模型。CVSS文档没有包含确定权重分配的内部逻辑,所以用户在不了解原理的情况下使用CVSS。根据琼斯的个人经验,这些权重往往只适用于少数特殊情况,并不能推广到大多数安全事件。考虑到描述的模糊性、范围和应用场景的局限性,在某些情况下获得的CVSS分数可能完全没有意义。由于用户正在使用这些权重值,因此开发人员至少应提供一些合适的说明,让用户就何时使用这些权重值做出明智的决定。设计和实现是评估像CVSS这样的统计工具的唯一指标。在最近出版的新书《统计学错了》中,作者写道,即使在最聪明的用户手中,统计数据也常常是错误的。科学家对统计数据的广泛滥用令人震惊。对于CVSS的用户,我们应该再次强调作者的观点。CVSSScoreCalculator允许用户自定义权重以适应用户公司的环境。然而,大多数公司仍然使用标准的CVSS权重,并没有手动自定义它们。其实每个公司应该根据自己的情况来确定权重和分数,而不是使用官方默认值。如果确认权重的工作量太大,可以从自定义CVSS环境和时间变量开始调整,稍后再将调整放到权重上。CVSS是一个强大的工具,提供了大量的评估维度。对于那些想要快速总结漏洞分数的人来说,CVSS可以解决问题。但快速而简短的评估对于信息安全专业人员来说是不够的。每家公司都应根据自身情况调整其漏洞管理策略。一般评分可能有用,但无法优化。采取以下步骤使CVSS更加有效:?了解公司如何面临风险。只有这样才能理解CVSS并将其与漏洞管理项目联系起来。?确定公司的损失风险。最终,修补漏洞等努力的效果应该体现在减少公司损失上。应重点关注漏洞对业务的影响。例如,在面向网络的系统上发现敏感信息泄露漏洞应该优先于那些不面向外界的系统。·需要确保公司的漏洞评分不是基于CVSS默认设置。CVSS的环境变量和时间变量要改一下才能拿到满分。·如果公司同时遇到两个漏洞:一个CVSS评分高,但没有被攻破;另一个具有较低的CVSS分数,但已被泄露。企业该如何抉择?将CVSS和漏洞管理程序结合在一起的公司越多,做出此类决策就越容易。虽然两家公司都使用CVSS,但他们对CVSS的利用深度可能完全不同。自定义CVSS可以最大限度地发挥评级系统的功能,让企业做出更明智的判断。原文地址:http://www.aqniu.com/neo-points/7524.html
