如何正确对待通用安全漏洞评分系统(CVSS)

   对任何处理软件漏洞的人而言,CVE和CVSS通常是寻找细节过程中的第一步,通过这两步,人们可以发现有关漏洞的全部细节。


  通用漏洞评分系统(CVSS)诞生于2007年,是用于评估系统安全漏洞严重程度的一个行业公开标准。CVSS现在已经进入第二个版本,第三版正在开发中。它的主要目的是帮助人们建立衡量漏洞严重程度的标准,使得人们可以比较漏洞的严重程度,从而确定处理它们的优先级。CVSS得分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。漏洞的最终得分最大为10,最小为0。得分7~10的漏洞通常被认为比较严重,得分在4~6.9之间的是中级漏洞,0~3.9的则是低级漏洞。

  大多数商业化漏洞管理软件都以CVSS为基础,因此各企业看待漏洞的视角通常是从CVSS得分出发。尽管CVSS在快速进行漏洞优先级排序和甄别漏洞方面效果显著,其排序速度往往基于企业对其进行本地化配置的情况。

  CVSS是强大的监测工具,但进行评分所依赖的所有量度都是很笼统的。为了达到最高的监测效率,需要根据具体环境对CVSS进行本地化配置。但现实是,大多数企业病不这样做。它们直接使用Rapid7、Qualys、Tenable公司的信息,并不根据企业的特定环境和特定风险进行专门配置。

  举例而言,Rapid7公司在谈及CVSS时直率地表示,CVSS基本量度只评估漏洞的潜在风险,在评估过程中并不需要收集时间和环境数据。因此,通过CVSS基本量度得出的漏洞评分并未考虑到全公司上下的整体情况。

  从严格意义上来讲,CVSS评分并不代表具体事件可能发生的概率。它只代表了公司被入侵成功的概率。

  CXOWare公司董事长、《衡量与管理信息风险》一书合作者杰克·琼斯(Jack Jones)在近期召开的“信息安全世界”大会上发表了一些有关CVSS的批评言论。

  CVSS是很有潜力的工具,但人们对它知之甚少。大多数公司使用CVSS的方式都不对。

  琼斯并不是CVSS的唯一批评者。有些人认为,CVSS在将安全风险公式化方面做得并不好,而且其评估漏洞风险的过程可能过于复杂。

  另一个问题在于,CVSS通常被用于漏洞评分,进而与风险度量模块结合。结果是,这样浪费了资源,公司没办法甄别出最重要的安全问题。

  琼斯对CVSS的主要疑虑来源于该系统的加权模式。CVSS的说明文档中并不包括确定权重分配的内在逻辑,因此,用户是在并不理解原理的前提下使用CVSS的。根据琼斯的个人经验,这些权重往往只适用于一小部分特殊情况,而对大多数安全事件没有概括能力。如果考虑到描述上的歧义、限制范围、应用情景,在有些情况下得到的CVSS评分可能完全没有意义。既然用户都在使用这些权重值,开发者应当至少提供一些合适的说明,以让用户在知情状态下决定何时使用这些权值。

  设计和实现情况是评价CVSS这样的统计学工具的唯一指标。在近期发售的新书《统计学错了》中,作者写道:即使是在那些最智慧的使用者手里,统计学也经常是错的。科学家们大范围地错误使用统计学,令人吃惊。对于使用CVSS的用户而言,我们应该再次强调此书作者的观点。

  CVSS分数计算器允许用户对权重进行自定义设置,以适应用户本公司的环境。不过,大多数公司还是使用标准的CVSS权重,并不会进行手动定制。事实上,每个公司都应当根据自身情况确定权重和分数,而不是使用官方提供的默认值。如果确认权重的工作量过重,可以从定制CVSS环境和时间变量开始进行调整,并把对权重的调整放到之后来做。

  CVSS是强大的工具,提供大量的评估维度。对那些想要快速获取关于漏洞的简要评分的人而言,CVSS能够胜任。但快速和简要的评估并不能满足信息安全工作人员的需要。每个公司都应该根据自身情况定制漏洞管理策略。概括性的评分可能有用,但无法被优化。

  采取以下措施来让CVSS更有效:

  ·理解公司暴露在风险中的方式。只有这样才能理解CVSS,并将其和漏洞管理项目绑定在一起。

  ·确定公司的损失暴露情况。最终,修补漏洞缺陷这类努力的效果还是要反映到减少公司损失上。应当将注意力集中在漏洞对业务的影响上。举例而言,在面向Web的系统上找的敏感信息泄露漏洞的优先级应当大于那些并不面向外界的漏洞。

  ·需要保证公司的漏洞评分并不基于CVSS默认设置。应当改变CVSS的环境和时间变量,以获得完整的分数。

  ·如果公司同时遇到了两个漏洞:一个CVSS得分很高,但还没有被入侵;另一个CVSS得分很低,但已经被入侵。公司应当如何抉择呢?公司越能把CVSS和漏洞管理项目绑定在一起,就越容易做出这类决断。尽管两家公司都使用CVSS,其对CVSS的利用深度可能完全不同。对CVSS进行定制,可以尽可能地发挥评级系统的功能,允许企业作出更明智的判断。

时间: 2024-10-31 09:16:46

如何正确对待通用安全漏洞评分系统(CVSS)的相关文章

草根站长的呼吁:让我们正确对待seo

2010年3月,我开始接触.认识和了解seo.作为一个seo菜鸟,原本不该班门弄斧,自取其辱.但在与seo为伍这段时间,自己也切身体会到了一些曾经未曾体会过的东西.还对当初背诵的seo概念记忆犹新:search engine optimization,搜索引擎优化,简称seo.它是指遵循搜索引擎的搜索原理,对网站结构.网页文字语言和站点间互动外交略等进行合理规划部署,以改善网站在搜索引擎的搜索表现,进而增加客户发现并访问网站的可能性的这样一个过程. seo行业的入行门槛很低,不少seo理论知识或

WPS 表格制作竞赛评分系统

我们知道在许多竞赛中选手的成绩都是现场打分,并且几乎选手成绩出来的同时选手的最后得分及名次也显示出来了,这样使观众看了有一种很强的现场感和刺激性.其实我们在平时单位举行的各类竞赛中完全可以实现这个效果,就是通过WPS表格制作一个简单的评分系统,下面以一个10名评委.7个班级参加的广播操比赛为例,介绍一下评分系统的制作过程. 1. 制作一张内容如图1所示的工作表,并将其命名为"××中学广播体操比赛评分系统". 图1 2. 计算最高分和最低分:在B13和B14单元格中分别输入"{

用PowerPoint制作比赛评分系统

  最近单位组织了一次英语会话比赛,笔者用powerpoint内嵌的VBA功能制作了一个即时评分系统,受到老师和同学们的一致好评,现将制作过程与大家分享. 准备工作:在桌面新建一个名为"评分系统"的文件夹,用于存放参赛队的相关信息,其中Name.txt中保存了各参赛队名称(需事先准备,每个队名占一行). 启动工作:新建一张空白幻灯片,在"视图"菜单下找到"工具栏"子菜单,选择其中的"控件工具箱"(大家也可根据实际需要改变主界面

win7用360安全卫士修复漏洞后系统运行速度变慢怎么办

win7用360安全卫士修复漏洞后系统运行速度变慢怎么办   1.你点击C盘右键--点属性--点击磁盘清理--其他选项--在系统还原项点击清理(清理补丁后的残渣,补丁效果不会失去); 2.再用360高级注册表优化; 3.清理一下如果还没有改善,那就是东西装太多,导致系统资源占用太多,太繁杂只能重装系统了.

问-急需演讲比赛所用的倒计时和评分系统

问题描述 急需演讲比赛所用的倒计时和评分系统 急需演讲比赛所用的倒计时和评分系统.急需演讲比赛所用的倒计时和评分系统 解决方案 http://www.crsky.com/soft/70399.html 解决方案二: http://www.wishdown.com/soft/39102.html

c语言-C语言 歌唱评分系统

问题描述 C语言 歌唱评分系统 有五个选手参加比赛,十个裁判打分,去掉一个最高分和最低分,剩下分数的平值作为每位选手的成绩 要求: 1 采用结构体定义每一个选手的参赛编号,姓名以及十个裁判打出的分数 2 从键盘输入每个选手的相关信息:参赛编号,姓名和十个得分,并输出该数组中所有选手的信息 3 计算每位选手的最后得分,并按分数从高到低排序 4 查询功能:输入参赛选手的编号或姓名,便可输出该选手的得分以及排名 以上功能采用菜单操作方式,即从键盘输入1到3三个数,分别完成以上2到4的功能 解决方案 h

联想LSE存高危漏洞 重装系统也无法消除

本文讲的是 联想LSE存高危漏洞 重装系统也无法消除,联想在其笔记本电脑中隐藏了不可移除的软件,不幸的是,这个软件造成了很大的安全隐患. 如果这个"垃圾"软件从操作系统中被删除,不管是完全重装操作系统还是格式化硬盘,电脑的固件还是会悄悄地自动地在下次电脑启动时重新安装到系统中. 内置在电脑主板固件上的是一段名为"联想服务引擎"(LSE)的代码,如果操作系统重装,LSE就会在下次启动时,在Windows系统启动前执行. LSE会确保C:\Windows\system3

显示-智能评分系统(要求设置串并行规则)

问题描述 智能评分系统(要求设置串并行规则) 一套操作流程输入到评分系统中系统根据步骤给分,还有把漏做的步骤和顺序不对的步骤显示出来,这个系统怎么实现,数据库该怎么设计? 解决方案 建议使用脚本语言来写规则,主程序用脚本引擎调用,这相对比较简单 解决方案二: 介意你研究下JAVA规则引擎 比如rolies之类

魅族MX4可开全网4G Flyme通用版刷机系统揭秘

魅族MX4能支持FDD-LTE和TD-LTE网络,但魅族MX4上市时分为移动版和联通版,这两个版本在硬件上基本没有区别,但在网络支持上移动版只支持移动的 4G/3G网络,联通版支持移动4G.联通4G.联通3G网络.同时我们也留意到魅族官网上有一个叫通用版的 Flyme系统,这个又是什么东西?魅族MX4虽然分为移动版和联通版两个版本,但硬件上基本上相同,理论上都能支持移动和联通的4G/3G网络,魅族MX4通用版系统就是一个可以开启移动和联通4G/3G网络的ROM,无论你手上是联通版的MX4还是移动