如何正確對待通用安全漏洞評分系統(CVSS)

 　　對任何處理軟件漏洞的人而言，CVE和CVSS通常是尋找細節過程中的第一步，通過這兩步，人們可以發現有關漏洞的全部細節。

　　通用漏洞評分系統(CVSS)誕生於2007年，是用於評估系統安全漏洞嚴重程度的一個行業公開標准。CVSS現在已經進入第二個版本，第三版正在開發中。它的主要目的是幫助人們建立衡量漏洞嚴重程度的標准，使得人們可以比較漏洞的嚴重程度，從而確定處理它們的優先級。CVSS得分基於一系列維度上的測量結果，這些測量維度被稱為量度(Metrics)。漏洞的最終得分最大為10，最小為0。得分7~10的漏洞通常被認為比較嚴重，得分在4~6.9之間的是中級漏洞，0~3.9的則是低級漏洞。

　　大多數商業化漏洞管理軟件都以CVSS為基礎，因此各企業看待漏洞的視角通常是從CVSS得分出發。盡管CVSS在快速進行漏洞優先級排序和甄別漏洞方面效果顯著，其排序速度往往基於企業對其進行本地化配置的情況。

　　CVSS是強大的監測工具，但進行評分所依賴的所有量度都是很籠統的。為了達到最高的監測效率，需要根據具體環境對CVSS進行本地化配置。但現實是，大多數企業病不這樣做。它們直接使用Rapid7、Qualys、Tenable公司的信息，並不根據企業的特定環境和特定風險進行專門配置。

　　舉例而言，Rapid7公司在談及CVSS時直率地表示，CVSS基本量度只評估漏洞的潛在風險，在評估過程中並不需要收集時間和環境數據。因此，通過CVSS基本量度得出的漏洞評分並未考慮到全公司上下的整體情況。

　　從嚴格意義上來講，CVSS評分並不代表具體事件可能發生的概率。它只代表了公司被入侵成功的概率。

　　CXOWare公司董事長、《衡量與管理信息風險》一書合作者傑克·瓊斯(Jack Jones)在近期召開的“信息安全世界”大會上發表了一些有關CVSS的批評言論。

　　CVSS是很有潛力的工具，但人們對它知之甚少。大多數公司使用CVSS的方式都不對。

　　瓊斯並不是CVSS的唯一批評者。有些人認為，CVSS在將安全風險公式化方面做得並不好，而且其評估漏洞風險的過程可能過於復雜。

　　另一個問題在於，CVSS通常被用於漏洞評分，進而與風險度量模塊結合。結果是，這樣浪費了資源，公司沒辦法甄別出最重要的安全問題。

　　瓊斯對CVSS的主要疑慮來源於該系統的加權模式。CVSS的說明文檔中並不包括確定權重分配的內在邏輯，因此，用戶是在並不理解原理的前提下使用CVSS的。根據瓊斯的個人經驗，這些權重往往只適用於一小部分特殊情況，而對大多數安全事件沒有概括能力。如果考慮到描述上的歧義、限制范圍、應用情景，在有些情況下得到的CVSS評分可能完全沒有意義。既然用戶都在使用這些權重值，開發者應當至少提供一些合適的說明，以讓用戶在知情狀態下決定何時使用這些權值。

　　設計和實現情況是評價CVSS這樣的統計學工具的唯一指標。在近期發售的新書《統計學錯了》中，作者寫道：即使是在那些最智慧的使用者手裡，統計學也經常是錯的。科學家們大范圍地錯誤使用統計學，令人吃驚。對於使用CVSS的用戶而言，我們應該再次強調此書作者的觀點。

　　CVSS分數計算器允許用戶對權重進行自定義設置，以適應用戶本公司的環境。不過，大多數公司還是使用標准的CVSS權重，並不會進行手動定制。事實上，每個公司都應當根據自身情況確定權重和分數，而不是使用官方提供的默認值。如果確認權重的工作量過重，可以從定制CVSS環境和時間變量開始進行調整，並把對權重的調整放到之後來做。

　　CVSS是強大的工具，提供大量的評估維度。對那些想要快速獲取關於漏洞的簡要評分的人而言，CVSS能夠勝任。但快速和簡要的評估並不能滿足信息安全工作人員的需要。每個公司都應該根據自身情況定制漏洞管理策略。概括性的評分可能有用，但無法被優化。

　　采取以下措施來讓CVSS更有效：

　　·理解公司暴露在風險中的方式。只有這樣才能理解CVSS，並將其和漏洞管理項目綁定在一起。

　　·確定公司的損失暴露情況。最終，修補漏洞缺陷這類努力的效果還是要反映到減少公司損失上。應當將注意力集中在漏洞對業務的影響上。舉例而言，在面向Web的系統上找的敏感信息洩露漏洞的優先級應當大於那些並不面向外界的漏洞。

　　·需要保證公司的漏洞評分並不基於CVSS默認設置。應當改變CVSS的環境和時間變量，以獲得完整的分數。

　　·如果公司同時遇到了兩個漏洞：一個CVSS得分很高，但還沒有被入侵;另一個CVSS得分很低，但已經被入侵。公司應當如何抉擇呢?公司越能把CVSS和漏洞管理項目綁定在一起，就越容易做出這類決斷。盡管兩家公司都使用CVSS，其對CVSS的利用深度可能完全不同。對CVSS進行定制，可以盡可能地發揮評級系統的功能，允許企業作出更明智的判斷。