通用漏洞評分系統 (CVSS)系統入門指南

通用漏洞評分系統 (CVSS) 是一個公共架構 ，用于評估軟體中安全漏洞的嚴重性。這是一個中立的評分系統，讓所有企業能夠使用相同的評分架構對各種軟體産品（從作業系統、資料庫再到 Web 應用程式）的 IT 漏洞進行評分。

為什麼企業要采用 CVSS

在沒有 CVSS 以前，軟體供應商使用自己的方法對軟體漏洞進行評分，但是他們通常沒有詳細說明分數是如何計算的。這給安全人員帶來了一個難題：首先修複嚴重性為“高”的漏洞，還是修複等級為 5 的漏洞？為了解決這個問題，美國國家基礎設施保障委員會 (NIAC) 開發了 CVSS 來簡化一緻分數的生成，該分數可以準确反映漏洞對特定 IT 環境的嚴重性和影響。

作為一個公開的評分架構，企業可以自由通路用于生成分數的參數，清楚地了解任何漏洞分數背後的原理和差異。這讓安全團隊更容易評估漏洞對其系統的影響，并優先考慮首先修複哪些漏洞。CVSS 還可以幫助組織滿足各種标準的安全合規要求。

目前，CVSS 已被廣泛采用，并被美國國土安全部 (DHS)、美國計算機應急響應小組 (CERT) 和許多其他機構使用。Cisco、Qualys、Oracle 和 SAP 等大型企業也會生成 CVSS 分數，以告知使用者在其産品中發現的漏洞的嚴重性。軟體開發人員還可以使用 CVSS 分數來确定安全測試的優先級，以確定在開發過程中修複或緩解已知的嚴重漏洞。

如何了解 CVSS 分數

許多安全團隊使用 CVSS 來确定漏洞管理活動的優先級，例如事件響應流程、缺陷跟蹤和解決，或緩解控制的實施。

最新版本 CVSS v3.1 中，通過對受利用過程和影響的因素進行評估，進而得出最終的嚴重性分數。當企業在沒有相關環境資訊的情況下設定漏洞的某些屬性時，CVSS 分數就是一個可參考的“客觀”資訊。以下是 Spring4Shell 漏洞 的 CVSS 示例，其嚴重性評分為 9.8 CRITICAL。

圖檔來源：Sysdig

基本名額

CVSS 的基礎分數（Base Score）由以下變量計算得出：

• 攻擊向量 (Attack Vector) : 該名額反映了可能利用漏洞的環境。攻擊者距離越遠（例如遠端利用漏洞發起攻擊），基本得分越高。
• 攻擊複雜度 (Attack complexity) : 該名額反映了利用漏洞的複雜/容易程度。在高複雜度的情況下，需要攻擊者花費大量的努力來準備或執行針對易受攻擊的元件。最不複雜的攻擊，基本得分最高。
• 所需特權 (Privileges Required) : 決定了攻擊者成功利用漏洞所必須擁有的特權級别。共有三個選項 None/Low/High。None 是指無需身份驗證即可利用漏洞。在沒有特權的情況下，基本分數最高。
• 使用者互動 (User Interaction) ：這一項描述了是否可以在沒有單獨使用者參與的情況下利用漏洞。這在使用者需要與威脅（惡意軟體）互動以破壞其裝置的移動應用程式中很常見。另一個例子，類似于網絡釣魚攻擊，本身并沒有風險，但攻擊者使用社交工程來讓受害者點選連結并受到攻擊。
• 範圍 (Scope)：度量捕獲一個易受攻擊元件中的漏洞是否會影響超出其安全範圍的元件中的資源，當範圍沒有發生變化時，基本分數最低。
• CIA (機密性、完整性和可用性) : 該模型是構成安全系統和政策開發的權威安全模型基礎。這三個影響名額反映了成功利用漏洞的影響和後果。

基本分數是一個客觀值，随着時間的推移保持穩定并且在各企業之間保持一緻。作為補充還有兩個名額，分别為時間和環境。這些值會帶來更多的評分複雜性，是以在企業進行漏洞管理早期可能不會關注。

時間名額

時間名額根據漏洞的目前狀态作為已知漏洞來衡量漏洞的各個方面，是以代表了漏洞的随時間變化的屬性，例如官方更新檔的釋出。它還包括報告置信度名額，該名額衡量對漏洞存在的置信度以及證明漏洞真實且可利用的已知技術細節的可信度。是以會随着漏洞的生命周期而改變。

環境名額

環境名額讓安全人員可以根據受影響的 IT 資産對其的重要性來自定義 CVSS 分數。該名額提供了漏洞在企業内部的真實環境（包括受漏洞影響的資産關鍵性、緩解控制識别和相關資産使用）。

具體 CVSS 分數計算示例見參考連結。

CVSS 補充評分系統

在評估系統的安全性時，以下的衍生評分系統能夠對 CVSS 進行有效補充。比如：

通用誤用評分系統 (CMSS)：這是一組衡量具有誤用漏洞的軟體的嚴重性名額。該分數可以幫助公司提供用于對系統的整體安全狀況進行定量評估的資料。

通用配置評分系統 (CCSS)：CCSS 基于 CVSS 和 CMSS。CCCS将基準名額的可利用性分為主動或被動。主動利用是指攻擊者執行操作以利用錯誤配置，而被動利用指的是通過配置缺陷使授權機制失效。