隨著漏洞披露量的持續(xù)增長(zhǎng)和攻擊復(fù)雜性的提升，準(zhǔn)確的風(fēng)險(xiǎn)評(píng)估對(duì)于企業(yè)防御和漏洞修復(fù)至關(guān)重要。在近日舉行的Black Hat歐洲大會(huì)上，金融巨頭摩根大通的網(wǎng)絡(luò)安全專家發(fā)出警告：當(dāng)前廣泛使用的漏洞嚴(yán)重性評(píng)估系統(tǒng)——通用漏洞評(píng)分系統(tǒng)（CVSS）存在重大缺陷，可能導(dǎo)致安全團(tuán)隊(duì)對(duì)漏洞風(fēng)險(xiǎn)誤判，從而延長(zhǎng)漏洞的暴露時(shí)間，增加組織面臨的風(fēng)險(xiǎn)。

CVSS漏洞評(píng)分的誤導(dǎo)性風(fēng)險(xiǎn)

CVSS是一種行業(yè)標(biāo)準(zhǔn)方法，通過(guò)量化指標(biāo)評(píng)估軟件和硬件漏洞的嚴(yán)重性。然而，摩根大通的專家在演講中指出，CVSS在現(xiàn)實(shí)風(fēng)險(xiǎn)的反映上存在多重問(wèn)題，導(dǎo)致企業(yè)在修復(fù)優(yōu)先級(jí)的排序上可能做出錯(cuò)誤決策。這些問(wèn)題具體如下：

缺乏情境因素的考量

CVSS評(píng)分未充分考慮漏洞所處的環(huán)境。例如，一個(gè)漏洞是否已被“野外利用”（actively exploited），或其對(duì)具體組織的風(fēng)險(xiǎn)優(yōu)先級(jí)，往往被忽略。摩根大通指出，CVSS對(duì)保密性、完整性和可用性這三個(gè)維度給予了等權(quán)處理，卻未能適應(yīng)各個(gè)組織的獨(dú)特需求，也未能充分體現(xiàn)漏洞的真實(shí)影響。

10%的漏洞被低估

2023年，全球平均每天披露80個(gè)漏洞，同比增幅約20%。其中，約18%的漏洞被評(píng)為嚴(yán)重（CVSS評(píng)分9或以上）。然而，摩根大通的分析表明，大約10%的漏洞可能被低估，未能體現(xiàn)其潛在的破壞性。

研究人員提到，許多被低估的漏洞可能帶來(lái)嚴(yán)重的安全后果。例如，CVE-2020-8187是Citrix NetScaler中一個(gè)分布式拒絕服務(wù)（DDoS）漏洞，其CVSS評(píng)分僅為7.5。然而，這一漏洞在COVID-19疫情期間暴露時(shí)，有可能導(dǎo)致企業(yè)業(yè)務(wù)全面癱瘓。

類似地，Zoom的CVE-2019-13450漏洞（允許未經(jīng)用戶同意打開(kāi)攝像頭）被評(píng)定為中等風(fēng)險(xiǎn)。然而，該漏洞的實(shí)際影響包括隱私侵犯、安全風(fēng)險(xiǎn)，以及法律與聲譽(yù)后果，遠(yuǎn)超這一評(píng)分所反映的風(fēng)險(xiǎn)級(jí)別。

依賴關(guān)系與權(quán)限的忽視

CVSS未充分考慮漏洞的依賴關(guān)系及特定配置要求。某些漏洞需要特定的硬件或軟件配置才能被利用，而訪問(wèn)控制或用戶權(quán)限的設(shè)定會(huì)顯著影響攻擊者的利用能力。例如，攻擊者對(duì)系統(tǒng)的實(shí)際影響可能因權(quán)限設(shè)置而大幅變化，但這些因素在CVSS評(píng)分中的反映極為有限。

CVSS 4.0：改進(jìn)與不足

CVSS 4.0框架即將推出，新增了影響指標(biāo)、時(shí)間維度的優(yōu)化，以及輔助評(píng)分指標(biāo)，以期提高評(píng)估的準(zhǔn)確性。然而，摩根大通專家指出，4.0版本仍未解決幾個(gè)核心問(wèn)題：

隱私問(wèn)題的忽視：CVSS評(píng)分中的“保密性”指標(biāo)過(guò)于通用，無(wú)法準(zhǔn)確體現(xiàn)漏洞對(duì)隱私的具體影響。

高級(jí)持續(xù)性威脅（APT）的考量不足：CVSS評(píng)分未能充分體現(xiàn)漏洞與APT攻擊之間的關(guān)聯(lián)性。

依賴關(guān)系與可利用性權(quán)重不足：攻擊者對(duì)漏洞的利用能力與環(huán)境配置的關(guān)聯(lián)未被適當(dāng)體現(xiàn)。

摩根大通提出改進(jìn)框架

為了彌補(bǔ)CVSS現(xiàn)有的不足，摩根大通開(kāi)發(fā)了一種新的漏洞評(píng)估框架。該框架納入了以下改進(jìn)要素：

• 權(quán)重分配：增加對(duì)APT關(guān)聯(lián)性和漏洞利用難度的權(quán)重考量。
• 依賴分析：將漏洞的依賴性和環(huán)境條件納入風(fēng)險(xiǎn)評(píng)估。
• 隱私影響評(píng)估：增強(qiáng)對(duì)數(shù)據(jù)泄露和隱私風(fēng)險(xiǎn)的重視。

這一概念框架已向網(wǎng)絡(luò)安全社區(qū)公開(kāi)，摩根大通呼吁其他安全組織共同參與完善，以推動(dòng)行業(yè)標(biāo)準(zhǔn)的改進(jìn)。

新方法并非萬(wàn)靈藥

摩根大通首席安全架構(gòu)師Syed Islam在接受采訪時(shí)表示，網(wǎng)絡(luò)安全行業(yè)亟需一個(gè)更科學(xué)、更全面的漏洞評(píng)估體系，以應(yīng)對(duì)復(fù)雜的威脅格局。但是，只有具備一定安全成熟度的組織才能充分受益于這種新的評(píng)估方法。例如，這些組織需要建立全面的技術(shù)和應(yīng)用清單，以明確其業(yè)務(wù)依賴的核心系統(tǒng)和資產(chǎn)。

對(duì)于安全能力較弱的組織，Islam建議逐步提高其安全治理水平，從完善資產(chǎn)管理和漏洞響應(yīng)流程開(kāi)始。