不要繼續將 CVSS 得分當做風險評分
責編:gltian |2019-09-18 11:22:36評定一個漏洞其業務風險的優先級是否高于另一個漏洞的機制一直令人擔憂。從幾十年前,保護業務應用程序和基礎設施不受到完全披露的漏洞的影響開始,漏洞評分現在已經開始涉及胰島素泵和電傳飛控中模糊的缺陷,而這些缺陷可能會危及生命。
安全行業一直在努力 “評估” 一個新發現的漏洞所帶來的威脅有多大,最近的行業實踐更加關注如何進行這項評估工作。
隨著漏洞賞金計劃的發展和小型安全咨詢公司垂直專業化,發現嚴重程度高的漏洞往往會給發現者帶來直接的經濟回報。因此,發現的漏洞的重要程度和危險程度都要高。在越來越多的情況下,營銷團隊會在全球范圍內開展宣傳活動,向公司發出警告、使其感到害怕并推動業務發展。
自從第一個商業漏洞掃描器開始用高、中、低這三類嚴重程度來分類其發現的漏洞以來,已經將近 25 年了。即使在那個時候,安全專業人士也會因為將嚴重性與 “風險” 混淆而犯錯誤。
在上世紀初,隨著企業與千年蟲爭斗,第一代專業滲透測試咨詢公司開始將諸如 “可利用性”,“被利用的可能性” 和 “被利用后的影響” 等因素納入其日常報告和最終報告中,來區分嚴重程度相同的漏洞。客戶喜歡額外的細節,但是這個評分系統高度依賴于顧問制表和報告結果的技能和經驗。盡管 20 年前的滲透測試現在有了個新名字叫 Red Teaming(紅隊測試),并越來越多地在內部進行,但漏洞風險評分仍然很有價值——但它更像是一門藝術,而非科學。
也許在確定新漏洞(或威脅)的重要性方面最大的創新是通用漏洞評分系統 (Common Vulnerability Scoring System, CVSS)。當我在 Internet Security Systems(2006年被IBM收購)擔任 X-Force 的負責人時,我很幸運能為該公司的產品做出了貢獻,并幫助推動了整個產品的發展。作為(當時)主要的自動化掃描器和托管漏洞掃描供應商,2005 年 CVSS v1 量表的開發和使用改變了這個行業,并在量化漏洞特性的權重方面引發了新的爭論,這種加權方法在今天的 CVSS 3.1 版本中仍然存在爭議。
CVSS 旨在總結軟件或設備中的漏洞在其所處環境中的嚴重性,而不是評估依賴于軟件或設備的系統。因此當我聽說 CVSS 評分被錯誤地用于評估漏洞對組織機構、設備制造商或終端用戶構成的風險時,我深感擔憂。
最近有一篇文章中指出了這一點,這篇文章認為漏洞評分存在的缺陷將患者的生命置于危險之中。一方面,研究人員指出盡管 CVSS 對新漏洞的評分僅為中等 (5.8分/ 10分),但是如果攻擊者成功的利用該漏洞可以調整藥物劑量水平,并有可能殺死病人。另一方面,醫療設備制造商認為由于漏洞得分相對較低,因此可能不需要加快修復該漏洞和后續的監管預警。
就 CVSS 而言,研究人員和醫療設備供應商都錯了。CVSS 不是,也不應該被用來當作風險評分。
過去 20 年來,很多聰明的人改進了 CVSS 評分,使其作為一個嚴重性指標更加準確和有用,但他們一直在尋找通過量化環境因素和連鎖影響,將其納入風險評分中的方法。今天,CVSS 得分并不能被當做風險評分——它可能永遠不能,因為每個行業對風險的評估都不一樣,每個企業都有自己的風險因素,而外部人員不會知道。
我要提醒任何漏洞賞金獵人、安全分析師、軟件供應商或設備制造商,不要依賴 CVSS 來決定需要優先修復的部分。它是風險計算中的一個重要變量,但它本身并不足以代表風險本身。
本文原作者:Gunter Ollmann,安全高管和技術專家,現任微軟云與AI安全部CSO,曾供職于IBM。