隨著漏洞披露量的持續(xù)增長和攻擊復(fù)雜性的提升，準(zhǔn)確的風(fēng)險(xiǎn)評估對于企業(yè)防御和漏洞修復(fù)至關(guān)重要。在近日舉行的Black Hat歐洲大會上，金融巨頭摩根大通的網(wǎng)絡(luò)安全專家發(fā)出警告：當(dāng)前廣泛使用的漏洞嚴(yán)重性評估系統(tǒng)——通用漏洞評分系統(tǒng)（CVSS）存在重大缺陷，可能導(dǎo)致安全團(tuán)隊(duì)對漏洞風(fēng)險(xiǎn)誤判，從而延長漏洞的暴露時(shí)間，增加組織面臨的風(fēng)險(xiǎn)。

CVSS漏洞評分的誤導(dǎo)性風(fēng)險(xiǎn)

CVSS是一種行業(yè)標(biāo)準(zhǔn)方法，通過量化指標(biāo)評估軟件和硬件漏洞的嚴(yán)重性。然而，摩根大通的專家在演講中指出，CVSS在現(xiàn)實(shí)風(fēng)險(xiǎn)的反映上存在多重問題，導(dǎo)致企業(yè)在修復(fù)優(yōu)先級的排序上可能做出錯誤決策。這些問題具體如下：

缺乏情境因素的考量

CVSS評分未充分考慮漏洞所處的環(huán)境。例如，一個漏洞是否已被“野外利用”（actively exploited），或其對具體組織的風(fēng)險(xiǎn)優(yōu)先級，往往被忽略。摩根大通指出，CVSS對保密性、完整性和可用性這三個維度給予了等權(quán)處理，卻未能適應(yīng)各個組織的獨(dú)特需求，也未能充分體現(xiàn)漏洞的真實(shí)影響。

10%的漏洞被低估

2023年，全球平均每天披露80個漏洞，同比增幅約20%。其中，約18%的漏洞被評為嚴(yán)重（CVSS評分9或以上）。然而，摩根大通的分析表明，大約10%的漏洞可能被低估，未能體現(xiàn)其潛在的破壞性。

研究人員提到，許多被低估的漏洞可能帶來嚴(yán)重的安全后果。例如，CVE-2020-8187是Citrix NetScaler中一個分布式拒絕服務(wù)（DDoS）漏洞，其CVSS評分僅為7.5。然而，這一漏洞在COVID-19疫情期間暴露時(shí)，有可能導(dǎo)致企業(yè)業(yè)務(wù)全面癱瘓。

類似地，Zoom的CVE-2019-13450漏洞（允許未經(jīng)用戶同意打開攝像頭）被評定為中等風(fēng)險(xiǎn)。然而，該漏洞的實(shí)際影響包括隱私侵犯、安全風(fēng)險(xiǎn)，以及法律與聲譽(yù)后果，遠(yuǎn)超這一評分所反映的風(fēng)險(xiǎn)級別。

依賴關(guān)系與權(quán)限的忽視

CVSS未充分考慮漏洞的依賴關(guān)系及特定配置要求。某些漏洞需要特定的硬件或軟件配置才能被利用，而訪問控制或用戶權(quán)限的設(shè)定會顯著影響攻擊者的利用能力。例如，攻擊者對系統(tǒng)的實(shí)際影響可能因權(quán)限設(shè)置而大幅變化，但這些因素在CVSS評分中的反映極為有限。

CVSS 4.0：改進(jìn)與不足

CVSS 4.0框架即將推出，新增了影響指標(biāo)、時(shí)間維度的優(yōu)化，以及輔助評分指標(biāo)，以期提高評估的準(zhǔn)確性。然而，摩根大通專家指出，4.0版本仍未解決幾個核心問題：

隱私問題的忽視：CVSS評分中的“保密性”指標(biāo)過于通用，無法準(zhǔn)確體現(xiàn)漏洞對隱私的具體影響。

高級持續(xù)性威脅（APT）的考量不足：CVSS評分未能充分體現(xiàn)漏洞與APT攻擊之間的關(guān)聯(lián)性。

依賴關(guān)系與可利用性權(quán)重不足：攻擊者對漏洞的利用能力與環(huán)境配置的關(guān)聯(lián)未被適當(dāng)體現(xiàn)。

摩根大通提出改進(jìn)框架

為了彌補(bǔ)CVSS現(xiàn)有的不足，摩根大通開發(fā)了一種新的漏洞評估框架。該框架納入了以下改進(jìn)要素：

• 權(quán)重分配：增加對APT關(guān)聯(lián)性和漏洞利用難度的權(quán)重考量。
• 依賴分析：將漏洞的依賴性和環(huán)境條件納入風(fēng)險(xiǎn)評估。
• 隱私影響評估：增強(qiáng)對數(shù)據(jù)泄露和隱私風(fēng)險(xiǎn)的重視。

這一概念框架已向網(wǎng)絡(luò)安全社區(qū)公開，摩根大通呼吁其他安全組織共同參與完善，以推動行業(yè)標(biāo)準(zhǔn)的改進(jìn)。

新方法并非萬靈藥

摩根大通首席安全架構(gòu)師Syed Islam在接受采訪時(shí)表示，網(wǎng)絡(luò)安全行業(yè)亟需一個更科學(xué)、更全面的漏洞評估體系，以應(yīng)對復(fù)雜的威脅格局。但是，只有具備一定安全成熟度的組織才能充分受益于這種新的評估方法。例如，這些組織需要建立全面的技術(shù)和應(yīng)用清單，以明確其業(yè)務(wù)依賴的核心系統(tǒng)和資產(chǎn)。

對于安全能力較弱的組織，Islam建議逐步提高其安全治理水平，從完善資產(chǎn)管理和漏洞響應(yīng)流程開始。