當我們在駕駛中使用道路導航系統時,首先需要一張準確的電子地圖來作為參照。而在目前的IT系統漏洞管理工作中,很多企業組織和安全廠商都在將CVSS(國際通用漏洞評分系統)作為一張“參考地圖”,來指導相關工作的計劃與實施。網絡威脅情報平臺Flashpoint在其最新開展的《2022上半年網絡安全漏洞威脅研究報告》(以下簡稱報告)中指出:如果CVSS漏洞評價機制誤導了安全人員,就會導致企業將有限的漏洞管理資源投入到錯誤的漏洞修補任務中,卻忽視那些真正危害業務的漏洞。
CVSS的漏洞評價機制
CVSS(Common Vulnerability Scoring System)是由FIRST(事件響應與安全團隊論壇)創建,并由美國國家漏洞庫(NVD)保持數據日常維護更新的一套漏洞評價標準體系,主要目的是幫助行業衡量漏洞危害的嚴重程度,并指導行業進行漏洞修復。應用CVSS評分機制對新安全漏洞進行危害性評價時,通常會從基礎維度(Base Metric Group)、生命周期維度(Temporal Metric Group)和環境維度(Environmental Metric Group)進行評估,并生成一個0到10分之間的評分值來評估漏洞的嚴重程度。
基礎維度評價指的是一個漏洞的內在特征,主要評估漏洞本身固有的一些特點及這些特點可能造成的影響。該特征不會隨時間和用戶環境而改變。基礎評價是CVSS評分里最重要的一個指標,我們一般看到的CVSS評分都是指漏洞的基礎評價得分;
生命周期維度評價主要衡量當前利用技術或代碼可用性的狀態,是否存在任何補丁或解決方法或者漏洞報告的可信度等,生命周期評價會隨著時間的推移而改變;
環境維度評價使分析師能夠根據受影響的IT資產對用戶組織的重要性來定制CVSS評分,并根據組織基礎結構中組件情況的分配分值。
不可否認,CVSS評價指標在幫助安全人員更多了解新漏洞的詳情信息時,產生了很多積極的價值和幫助。但需要強調的是,CVSS評分只是一個指標,無法取代漏洞管理實踐中的應用風險分析。而研究人員卻發現,目前很多企業過于關注CVSS漏洞評價與披露情況,并將其評價分值作為了制定漏洞修補的優先級和行動計劃的首要標準。這就會給漏洞管理工作帶來很大的風險和誤導,因為漏洞理論上的嚴重程度與它能給組織帶來的實際風險往往并不匹配。
正如報告研究數據所顯示的,在過去十年中被CVSS評分為10.0的所有“高危級”漏洞中,有51.5%的漏洞危害后果描述未能被詳細說明,或者并不需要披露,這說明這些漏洞當時的評分并不準確,但這可能實際誤導了很多企業對這些“虛假高危”漏洞的關注和資源投入。
此外,報告數據還顯示,2022年上半年報告的“在野漏洞”(指已被POE驗證可利用,但還沒有公開收入到漏洞庫,或沒有官方補丁,難以實現有效安全控制的漏洞)數量比已給出評分的漏洞多出85%,這表明攻擊者實際利用漏洞的情況比CVSS分析評價的要更加頻繁和復雜。
重點關注漏洞的可利用性
報告研究人員認為,相比于漏洞的CVSS評分值,其實漏洞的可利用性指標更應該在企業漏洞管理工作中得到關注和體現。安全團隊應該優先考慮業務需求,實際減少數字化業務開展中的安全風險為目標,而不是盯著脫離實際情況的漏洞評價分數。
對安全管理團隊而言,制定漏洞懸賞計劃和開展定期的滲透測試可以提高漏洞管理的有效性。研究人員指出,在實際應用中,危害性最強的漏洞通常會具有三個特征:可以被遠程利用、有公開漏洞利用代碼,以及有切實可行的解決方案(比如補丁或升級)。這些漏洞應該列在排查清單的首位,因為它們構成的實際風險最大,但是往往又最容易修復。一旦解決了這些漏洞,安全團隊就可以使用基于風險的方法檢查其余漏洞,這是需要根據業務需求優先考慮面臨風險的資產,而不是盯著脫離實際情況的CVSS分數。
圖:2022上半年漏洞排查分布情況
開展更積極的漏洞管理
在網絡世界中,安全漏洞將會長期存在,所謂的安全性不僅是指“安全”或“不安全”,而是還取決于企業發現漏洞并進行響應的速度,只有通過科學的手段實現高效漏洞管理,網絡系統才會變得更加安全與健壯。
通過抽象CVSS評分值來做出漏洞安全管理的決策,這只會給企業帶來虛假的安全感,如果這種情況已經存在,應該盡快修改漏洞管理策略與流程。盡管采用積極的漏洞補丁管理策略會更具挑戰,但是卻會給企業帶來很多幫助,因為漏洞披露之后通常會引發大量的公共概念證明(POC),這些POC也同樣會被各種攻擊者所利用。修復漏洞并不只是摁下“更新按鈕”那么簡單,整個過程可能需要數周、甚至數月。
對于企業安全管理人員來說,在制定和實施漏洞管理計劃時,首先需要明確一點,如何判斷漏洞管理項目的有效性?如何成功實施漏洞管理項目?很多時候,漏洞管理不僅僅是一個技術問題而是企業綜合管理問題,它應該是程序化的,包含計劃、行動、協同、問責和持續改進。
更多信息可以來這里獲取==>>電子技術應用-AET<<
