對任何處理軟體漏洞的人而言,cve和cvss通常是尋找細節過程中的第一步,通過這兩步,人們可以發現有關漏洞的全部細節。
通用漏洞評分系統(cvss)誕生于2007年,是用于評估系統安全漏洞嚴重程度的一個行業公開标準。cvss現在已經進入第二個版本,第三版正在開發中。它的主要目的是幫助人們建立衡量漏洞嚴重程度的标準,使得人們可以比較漏洞的嚴重程度,進而确定處理它們的優先級。cvss得分基于一系列次元上的測量結果,這些測量次元被稱為量度(metrics)。漏洞的最終得分最大為10,最小為0。得分7~10的漏洞通常被認為比較嚴重,得分在4~6.9之間的是中級漏洞,0~3.9的則是低級漏洞。
大多數商業化漏洞管理軟體都以cvss為基礎,是以各企業看待漏洞的視角通常是從cvss得分出發。盡管cvss在快速進行漏洞優先級排序和甄别漏洞方面效果顯著,其排序速度往往基于企業對其進行本地化配置的情況。
cvss是強大的監測工具,但進行評分所依賴的所有量度都是很籠統的。為了達到最高的監測效率,需要根據具體環境對cvss進行本地化配置。但現實是,大多數企業病不這樣做。它們直接使用rapid7、qualys、tenable公司的資訊,并不根據企業的特定環境和特定風險進行專門配置。
舉例而言,rapid7公司在談及cvss時直率地表示,cvss基本量度隻評估漏洞的潛在風險,在評估過程中并不需要收集時間和環境資料。是以,通過cvss基本量度得出的漏洞評分并未考慮到全公司上下的整體情況。
從嚴格意義上來講,cvss評分并不代表具體事件可能發生的機率。它隻代表了公司被入侵成功的機率。
cxoware公司董事長、《衡量與管理資訊風險》一書合作者傑克·瓊斯(jack jones)在近期召開的“資訊安全世界”大會上發表了一些有關cvss的批評言論。
cvss是很有潛力的工具,但人們對它知之甚少。大多數公司使用cvss的方式都不對。
瓊斯并不是cvss的唯一批評者。有些人認為,cvss在将安全風險公式化方面做得并不好,而且其評估漏洞風險的過程可能過于複雜。
另一個問題在于,cvss通常被用于漏洞評分,進而與風險度量子產品結合。結果是,這樣浪費了資源,公司沒辦法甄别出最重要的安全問題。
瓊斯對cvss的主要疑慮來源于該系統的權重模式。cvss的說明文檔中并不包括确定權重配置設定的内在邏輯,是以,使用者是在并不了解原理的前提下使用cvss的。根據瓊斯的個人經驗,這些權重往往隻适用于一小部分特殊情況,而對大多數安全事件沒有概括能力。如果考慮到描述上的歧義、限制範圍、應用情景,在有些情況下得到的cvss評分可能完全沒有意義。既然使用者都在使用這些權重值,開發者應當至少提供一些合适的說明,以讓使用者在知情狀态下決定何時使用這些權值。
設計和實作情況是評價cvss這樣的統計學工具的唯一名額。在近期發售的新書《統計學錯了》中,作者寫道:即使是在那些最智慧的使用者手裡,統計學也經常是錯的。科學家們大範圍地錯誤使用統計學,令人吃驚。對于使用cvss的使用者而言,我們應該再次強調此書作者的觀點。
cvss分數電腦允許使用者對權重進行自定義設定,以适應使用者本公司的環境。不過,大多數公司還是使用标準的cvss權重,并不會進行手動定制。事實上,每個公司都應當根據自身情況确定權重和分數,而不是使用官方提供的預設值。如果确認權重的工作量過重,可以從定制cvss環境和時間變量開始進行調整,并把對權重的調整放到之後來做。
cvss是強大的工具,提供大量的評估次元。對那些想要快速擷取關于漏洞的簡要評分的人而言,cvss能夠勝任。但快速和簡要的評估并不能滿足資訊安全從業人員的需要。每個公司都應該根據自身情況定制漏洞管理政策。概括性的評分可能有用,但無法被優化。
采取以下措施來讓cvss更有效:
·了解公司暴露在風險中的方式。隻有這樣才能了解cvss,并将其和漏洞管理項目綁定在一起。
·确定公司的損失暴露情況。最終,修補漏洞缺陷這類努力的效果還是要反映到減少公司損失上。應當将注意力集中在漏洞對業務的影響上。舉例而言,在面向web的系統上找的敏感資訊洩露漏洞的優先級應當大于那些并不面向外界的漏洞。
·需要保證公司的漏洞評分并不基于cvss預設設定。應當改變cvss的環境和時間變量,以獲得完整的分數。
·如果公司同時遇到了兩個漏洞:一個cvss得分很高,但還沒有被入侵;另一個cvss得分很低,但已經被入侵。公司應當如何抉擇呢?公司越能把cvss和漏洞管理項目綁定在一起,就越容易做出這類決斷。盡管兩家公司都使用cvss,其對cvss的利用深度可能完全不同。對cvss進行定制,可以盡可能地發揮評級系統的功能,允許企業作出更明智的判斷。
作者:venvoo
來源:51cto