如何正确对待CVSS

最新推荐文章于 2025-07-29 15:52:11 发布
转载 最新推荐文章于 2025-07-29 15:52:11 发布 · 147 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/218521
文章标签:

#系统安全

本文讲的是 如何正确对待CVSS,对任何处理软件漏洞的人而言,CVE和CVSS通常是寻找细节过程中的第一步,通过这两步,人们可以发现有关漏洞的全部细节。

通用漏洞评分系统(CVSS)诞生于2007年,是用于评估系统安全漏洞严重程度的一个行业公开标准。CVSS现在已经进入第二个版本,第三版正在开发中。它的主要目的是帮助人们建立衡量漏洞严重程度的标准,使得人们可以比较漏洞的严重程度,从而确定处理它们的优先级。CVSS得分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。漏洞的最终得分最大为10,最小为0。得分7~10的漏洞通常被认为比较严重,得分在4~6.9之间的是中级漏洞,0~3.9的则是低级漏洞。

大多数商业化漏洞管理软件都以CVSS为基础,因此各企业看待漏洞的视角通常是从CVSS得分出发。尽管CVSS在快速进行漏洞优先级排序和甄别漏洞方面效果显著,其排序速度往往基于企业对其进行本地化配置的情况。

CVSS是强大的监测工具,但进行评分所依赖的所有量度都是很笼统的。为了达到最高的监测效率,需要根据具体环境对CVSS进行本地化配置。但现实是,大多数企业病不这样做。它们直接使用Rapid7、Qualys、Tenable公司的信息,并不根据企业的特定环境和特定风险进行专门配置。

举例而言,Rapid7公司在谈及CVSS时直率地表示,CVSS基本量度只评估漏洞的潜在风险,在评估过程中并不需要收集时间和环境数据。因此,通过CVSS基本量度得出的漏洞评分并未考虑到全公司上下的整体情况。

从严格意义上来讲,CVSS评分并不代表具体事件可能发生的概率。它只代表了公司被入侵成功的概率。

CXOWare公司董事长、《衡量与管理信息风险》一书合作者杰克·琼斯(Jack Jones)在近期召开的“信息安全世界”大会上发表了一些有关CVSS的批评言论。

CVSS是很有潜力的工具,但人们对它知之甚少。大多数公司使用CVSS的方式都不对。

琼斯并不是CVSS的唯一批评者。有些人认为,CVSS在将安全风险公式化方面做得并不好,而且其评估漏洞风险的过程可能过于复杂。

另一个问题在于,CVSS通常被用于漏洞评分,进而与风险度量模块结合。结果是,这样浪费了资源,公司没办法甄别出最重要的安全问题。

琼斯对CVSS的主要疑虑来源于该系统的加权模式。CVSS的说明文档中并不包括确定权重分配的内在逻辑,因此,用户是在并不理解原理的前提下使用CVSS的。根据琼斯的个人经验,这些权重往往只适用于一小部分特殊情况,而对大多数安全事件没有概括能力。如果考虑到描述上的歧义、限制范围、应用情景,在有些情况下得到的CVSS评分可能完全没有意义。既然用户都在使用这些权重值,开发者应当至少提供一些合适的说明,以让用户在知情状态下决定何时使用这些权值。

设计和实现情况是评价CVSS这样的统计学工具的唯一指标。在近期发售的新书《统计学错了》中,作者写道:即使是在那些最智慧的使用者手里,统计学也经常是错的。科学家们大范围地错误使用统计学,令人吃惊。对于使用CVSS的用户而言,我们应该再次强调此书作者的观点。

CVSS分数计算器允许用户对权重进行自定义设置,以适应用户本公司的环境。不过,大多数公司还是使用标准的CVSS权重,并不会进行手动定制。事实上,每个公司都应当根据自身情况确定权重和分数,而不是使用官方提供的默认值。如果确认权重的工作量过重,可以从定制CVSS环境和时间变量开始进行调整,并把对权重的调整放到之后来做。

CVSS是强大的工具,提供大量的评估维度。对那些想要快速获取关于漏洞的简要评分的人而言,CVSS能够胜任。但快速和简要的评估并不能满足信息安全工作人员的需要。每个公司都应该根据自身情况定制漏洞管理策略。概括性的评分可能有用,但无法被优化。

采取以下措施来让CVSS更有效:

·理解公司暴露在风险中的方式。只有这样才能理解CVSS,并将其和漏洞管理项目绑定在一起。

·确定公司的损失暴露情况。最终,修补漏洞缺陷这类努力的效果还是要反映到减少公司损失上。应当将注意力集中在漏洞对业务的影响上。举例而言,在面向Web的系统上找的敏感信息泄露漏洞的优先级应当大于那些并不面向外界的漏洞。

·需要保证公司的漏洞评分并不基于CVSS默认设置。应当改变CVSS的环境和时间变量,以获得完整的分数。

·如果公司同时遇到了两个漏洞:一个CVSS得分很高,但还没有被入侵;另一个CVSS得分很低,但已经被入侵。公司应当如何抉择呢?
公司越能把CVSS和漏洞管理项目绑定在一起,就越容易做出这类决断。尽管两家公司都使用CVSS,其对CVSS的利用深度可能完全不同。对CVSS进行定制,可以尽可能地发挥评级系统的功能,允许企业作出更明智的判断。

原文发布时间为:四月 28, 2015
本文作者:Venvoo
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/industry/7524.html

微软前员工:微软无视警告,罔顾国家利益!公司漏洞最终导致俄罗斯黑客的大规模攻击
leyang0910的博客
06-19 1249
前微软员工安德鲁怒斥微软。整个故事揭示了在科技巨头如何被企业的眼前利益所蒙蔽,一次次地无视安全漏洞,最终走到无可挽回的局面,导致美国遭遇了"世界上有史以来规模最大、最复杂的黑客攻击"。2016年,安德鲁·哈里斯发现了一个允许黑客潜入敏感计算机网络的漏洞,并在随后的几年里不断向公司高层发出警告,却屡屡遭到微软高层的忽视。这一疏忽最终被俄罗斯黑客发现并顺利入侵,这就是臭名昭著的SolarWinds事件,这次黑客行动影响了包括美国国家核安全局和国立卫生研究院在内的关键联邦机构。
信息安全工程师第二版考试总结+笔记
热门推荐
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
如何正确对待通用安全漏洞评分系统(CVSS)
weixin_33842328的博客
09-01 1840
对任何处理软件漏洞的人而言,CVE和CVSS通常是寻找细节过程中的第一步,通过这两步,人们可以发现有关漏洞的全部细节。 通用漏洞评分系统(CVSS)诞生于2007年,是用于评估系统安全漏洞严重程度的一个行业公开标准。CVSS现在已经进入第二个版本,第三版正在开发中。它的主要目的是帮助人们建立衡量漏洞严重程度的标准,使得人们可以比较漏洞的严重程度,从而确...
CVS使用手册
Night_Elf的专栏
09-10 1697
导读:   CVS环境初始化环境设置:指定CVS库的路径CVSROOT   tcsh   setenv CVSROOT /path/to/cvsroot   bash   CVSROOT=/path/to/cvsroot ;export CVSROOT   后面还提到远程CVS服务器的设置:   CVSROOT=:ext:$USER@test.server.address#port:/path/t
CVSS(通用漏洞评分系统)
最新发布
Flying_Fish_roe的博客
07-29 1618
CVSS(通用漏洞评分系统)是评估漏洞严重性的标准化框架,由FIRST维护,提供0-10分的量化评分。2023年发布的CVSS 4.0新增攻击条件、安全指标等维度,支持OT/ICS场景,但隐私风险覆盖仍不足。评分由基础、威胁、环境和补充四组指标构成,通过公式计算风险等级(如9-10分为严重)。CVSS广泛应用于漏洞优先级筛选、合规管理及云原生/工业场景,但存在主观偏差、环境耦合不足等局限。未来需结合AI漏洞模型等改进,并与OWASP、MITRE ATT&CK等框架协同,动态适配新兴威胁。(14
「 网络安全常用术语解读 」通用漏洞评分系统CVSS详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-11 1万+
CVSS全称是Common Vulnerability Scoring System,中文翻译为通用漏洞评分系统,CVSS是一个用于沟通软件漏洞特征和严重性的开放框架,它由FIRST(Forum of Incident Response and Security Teams)定义和维护。CVSS提供了一种方法来获取漏洞的主要特征,并生成反映其严重性的数值评分,取值范围[0,10],取值越高表明漏洞越严重,主要用于帮助组织或企业在漏洞管理流程中评估与定级漏洞。
深入了解通用漏洞评分系统(CVSS
qq_33163046的博客
09-23 5299
2015 年,CVSS 3.0 版本发布。它新增了用户交互(UI)和必要权限(PR)两个指标,为攻击复杂度(AC)指标引入了新的取值,还新增了 Scope (S) 指标来处理漏洞影响其他系统的情形。这一版本在漏洞评估的准确性和全面性上有了很大的提升。 2019 年,CVSS 3.1 版本推出。它没有引入新的指标,主要是对标准给出了更清晰的解释,增加了易用性,使得安全专业人员更容易理解和应用 CVSS 标准。 2023 年 10 月,CVSS 4.0 版本正式发布。它重新定义了评分术语体系,强调 CVSS
CVSS2-Calculator:CVSSv2.js 是一个免费开源的 Javascript 库,基于通用漏洞评分系统 (CVSS) 2.0 版计算器,更易于共享和部署
06-11
CVSSv2.js 计算器 CVSSv2.js 是一个免费的开源 Javascript 库,它基于通用漏洞评分系统 (CVSS) 2.0 版计算器,该计算器基于但更易于共享和部署。 CVSS2 算法如何工作? 通用漏洞评分系统 ( CVSS ) 是一种免费且开放的行业标准,用于评估计算机系统安全漏洞的严重程度。 它(FIRST) 管理。 它试图建立衡量一个漏洞与其他漏洞相比需要多大程度的关注,因此可以优先考虑工作。 分数基于一系列基于专家评估的测量值——称为度量标准。 分数范围从 0 到 10。基础分数在 7.0-10.0 范围内的漏洞是关键,4.0-6.9 范围内的漏洞为主要,0-3.9 为次要。 ,2015 年 3 月 为了更好地了解 CVSS 的工作原理,您应该阅读的。 ##Live Demo 你可以看到 CVSS2.js 库的 Live Demo。 ##特征 解释任何计算出
对stride进行data elements classification后使用cvss进行评分
glenshappy的专栏
06-01 145
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H
CVSS3.0说明书
11-07
通用弱点评价体系(CVSS)是由NIAC开发、FIRST维护的一个开放并且能够被产品厂商免费采用的标准。利用该标准,可以对弱点进行评分,进而帮助我们判断修复不同弱点的优先等级。
通用弱点评价体系(CVSS)简介
xp6033的专栏
11-01 1804
http://www.xfocus.net一、综述弱点(vulnerabilities)是网络安全中的一个重要因素,在多种安全产品(如漏洞扫描、入侵检测、防病毒、补丁管理等)中涉及到对弱点及其可能造成的影响的评价。但目前业界并没有通用统一的评价体系标准。通用弱点评价体系(CVSS)是由NIAC开发、FIRST维护的一个开放并且能够被产品厂商免费采用的标准。利用该标准,可以对
CVSS评分策略分析及近年来满分漏洞盘点
C20220511的博客
05-13 1万+
01 引言 近两年正如许多安全公司的研究员亲身经历的那样,网络攻击量显著增加,重大漏洞被相继爆出并伴随着在野利用。如去年年底的log4shell(CVE-2021-44228)和今年爆出的spring4shell(CVE-2022-22965)在安全圈里都掀起了不小的风浪。由于在分析spring漏洞时cve编号还没有出来,自评影响力也没那么“核弹级”,后续就没怎么关注这个漏洞的。最近突然想看看这个漏洞的CVSS评分,看看官方是怎么给这漏洞做影响力定义的。查看后发现该漏洞CVSSV2.0评分为7.5,CV.
医疗器械网络安全风险评定CVSS打分
ct745363083的博客
01-11 1712
为了完成医疗器械软件的网络安全风险评定相关文档,需要进行CVSS评分,这个评分对于第一次做的人来说感觉还是有些迷惑的,查了一些资料,留作参考。CVSS 指的是 Common Vulnerability Scoring System,即通用漏洞评分系统。它是一种用于评估和量化计算机系统和网络设备安全性的开放标准。CVSS 的主要目的是为安全专业人员提供一个共享的、一致的框架,以评估和比较安全漏洞的严重性。CVSS评分网址:https://www.first.org/cvss/calculator/3.1 如下
一文读懂通用漏洞评分系统CVSS4.0:顺带理清CVE、CWE及其与CVSS之间的关系
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-14 6488
在计算机科学中,漏洞是削弱系统整体安全性的缺陷或故障。漏洞可能是硬件本身或在其上运行的软件的弱点。CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞。CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少一个参考)。
cvss评分及漏洞矢量
General_zy的博客
10-25 5860
CVSS2.0对漏洞等级的定义有低、中、高三个级别,CVSS3.0开始补充了“严重”这个级别。C(Confidentiality Impact)代表机密性影响度。A(Availability Impact)代表可用性影响度。PR(Privileges Required)代表权限要求。AC(Attack Complexity)代表攻击复杂度。I(Integrity Impact)代表完整性影响度。AV(Attack Vector)代表攻击途径。S(Scope)代表作用域。
解读 CVSS 通用评分系统中最具争议的 Scope
个人笔记
03-28 5099
CVSS, Common Vulnerability Scoring System, 即通用漏洞评分系统,简言之就是一个对安全漏洞进行打分的标准。网络安全人员按照 CVSS 评分的维度对漏洞打分,截至到今天,CVSS 已经升级到 3.1 版本。实际上 CVSS 评分还有一些令人模糊的灰色地带,尤其是最具争议的 Scope,本次就在这里解读一下关于 Scope,到底该不该 Changed。
cvss
04-01
### CVSS概述 CVSS(Common Vulnerability Scoring System)是一种用于评估信息安全漏洞严重性的标准化框架[^1]。它通过量化漏洞的关键属性来计算一个分数,该分数范围从0到10,其中较低的分数表示较轻的影响,而较高的分数则表明存在严重的安全风险[^2]。 #### 打分机制 CVSS 的核心在于其打分规则的设计。这些规则考虑了多个维度的因素,包括但不限于攻击向量、攻击复杂度、所需权限以及影响范围等。具体来说: - **基础指标**:描述漏洞固有的特性,不受时间或环境因素影响的部分。例如,“攻击向量”衡量攻击者能够利用此漏洞的距离;“攻击复杂度”定义成功利用所需的条件数量。 - **临时指标**:反映了随着时间推移可能发生变化的情况,比如是否存在可用的补丁或者缓解措施的存在与否。 - **环境指标**:允许根据特定资产的重要性调整最终得分,从而更贴合实际业务需求。 这种多角度考量使得 CVSS 成为了全球范围内普遍接受的标准之一,在帮助企业确定哪些漏洞应该优先处理方面发挥了重要作用[^3]。 #### 应用场景 除了作为单一工具帮助识别高危漏洞外,CVSS 还可以集成到更大的网络安全策略当中。例如,在渗透测试过程中,结合威胁建模和源代码审查等多种技术手段共同作用下,能有效提升整体安全性水平。 ```python def calculate_cvss_score(base_metrics, temporal_metrics=None, environmental_metrics=None): """ 计算基于输入参数的基础CVSS分数 参数: base_metrics (dict): 基础指标字典 temporal_metrics (dict, optional): 临时指标字典,默认为None environmental_metrics (dict, optional): 环境指标字典,默认为None 返回: float: 最终得出的CVSS分数 """ # 实现具体的算法逻辑... pass ``` 上述伪代码展示了如何构建一个函数去接收不同类型的指标数据并返回相应的CVSS分数值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值