压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

年初發(fā)布的一份研究報(bào)告無疑會(huì)讓企業(yè)安全團(tuán)隊(duì)質(zhì)疑僅憑美國國家漏洞數(shù)據(jù)庫（NVD）中的漏洞評(píng)分來做出修復(fù)優(yōu)先級(jí)決策是否明智。

VulnCheck對(duì)12萬個(gè)CVE及其相關(guān)CVSS v3評(píng)分的分析顯示，近2.5萬個(gè)（大約20%）CVE都有兩個(gè)嚴(yán)重性評(píng)分。一個(gè)評(píng)分出自維護(hù)NVD的美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST），另一個(gè)出自含漏洞產(chǎn)品的供應(yīng)商。很多情況下，這兩個(gè)評(píng)分不盡相同，令安全團(tuán)隊(duì)不知道該信哪個(gè)。

沖突發(fā)生率很高

有兩個(gè)嚴(yán)重性評(píng)分的漏洞中，大約56%（1.4萬個(gè)）這倆評(píng)分相互沖突，也就是NIST給出的漏洞嚴(yán)重性評(píng)分不同于供應(yīng)商給出的。供應(yīng)商評(píng)估為中等嚴(yán)重性的漏洞，NIST可能認(rèn)為是嚴(yán)重漏洞。

VulnCheck以Windows輕量級(jí)目錄訪問協(xié)議（LDAP）拒絕服務(wù)漏洞CVE-2023-21557為例加以闡述。范圍為0~10分的CVSS評(píng)分中，微軟給這漏洞打了7.5分，定為“高”危。NIST則評(píng)估為9.1分，認(rèn)為是“嚴(yán)重”漏洞。NVD中關(guān)于此漏洞的信息并未透露為什么這兩個(gè)評(píng)分不一樣，且該數(shù)據(jù)庫中遍布類似的評(píng)分沖突案例。

VulnCheck漏洞研究人員Jacob Baines表示，面對(duì)這么高的評(píng)分沖突率，漏洞管理團(tuán)隊(duì)本就資源不足的企業(yè)可能就更難開展漏洞緩解工作了。“重度依賴CVSS評(píng)分的漏洞管理系統(tǒng)有時(shí)候會(huì)優(yōu)先處理并不嚴(yán)重的漏洞。”他說道，“而優(yōu)先處理錯(cuò)誤的漏洞會(huì)浪費(fèi)掉漏洞管理團(tuán)隊(duì)最重要的資源：時(shí)間。”

VulnCheck研究人員發(fā)現(xiàn)，NIST和供應(yīng)商在向數(shù)據(jù)庫中添加漏洞相關(guān)特定信息方面也存在差異。研究人員著重審查了NVD中的跨站腳本（XSS）和跨站請(qǐng)求偽造（CSRF）漏洞。

分析顯示，主源（通常是NIST）將數(shù)據(jù)庫里1.2萬個(gè)CVE中的12969個(gè)歸為XSS漏洞，而輔助源列為XSS的CVE相較之下要少得多，為2091個(gè)。VulnCheck發(fā)現(xiàn)，輔助源很少提及XSS漏洞需要用戶交互才能利用。CSRF漏洞評(píng)分也存在類似的差異。

“XSS和CSRF漏洞通常需要用戶交互。”Baines稱，“用戶交互是CVSS v3的一個(gè)評(píng)分因素，存在于CVSS v3向量中。審查NVD中XSS和CSRF漏洞包含此信息的頻率，可以揭示該數(shù)據(jù)庫中評(píng)分錯(cuò)誤的規(guī)模。”

不能僅憑嚴(yán)重性評(píng)分

基于通用漏洞評(píng)分系統(tǒng)（CVSS）的嚴(yán)重性評(píng)分旨在讓修復(fù)和漏洞管理團(tuán)隊(duì)能夠直觀了解軟件漏洞的嚴(yán)重程度。安全專業(yè)人員可以根據(jù)漏洞嚴(yán)重性評(píng)分判斷漏洞是低風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)還是高風(fēng)險(xiǎn)，還常可據(jù)此獲得軟件供應(yīng)商在分配CVE時(shí)可能沒提供的漏洞相關(guān)上下文。

很多企業(yè)采用CVSS標(biāo)準(zhǔn)給自己產(chǎn)品中的漏洞賦予嚴(yán)重性評(píng)分，安全團(tuán)隊(duì)通常會(huì)用該評(píng)分決定自身環(huán)境中脆弱軟件的修復(fù)順序。

盡管CVSS很普及，很多專業(yè)人士此前也都警告過，不能僅僅依靠CVSS可靠性評(píng)分來確定修復(fù)優(yōu)先級(jí)。2022年美國黑帽大會(huì)的一場會(huì)議上，趨勢科技零日計(jì)劃（ZDI）研究人員Dustin Childs和Brian Gorenc就指出了不能單靠CVSS評(píng)分的多個(gè)原因，比如缺乏關(guān)于漏洞可利用性、漏洞普遍性，以及攻擊容易程度等信息。

“企業(yè)資源有限，通常不得不確定先修復(fù)哪些漏洞。然而，如果他們獲得的信息相互矛盾，可能最后會(huì)把資源花費(fèi)在了不太可能被利用的漏洞上。”

Childs指出，企業(yè)通常依賴第三方產(chǎn)品來幫助確定漏洞的優(yōu)先級(jí)，決定首先修復(fù)哪些漏洞。很多時(shí)候他們都傾向于采用來自供應(yīng)商的CVSS評(píng)分而不是NIST這樣的其他來源。

“但是，不能總是依賴供應(yīng)商坦白真實(shí)的風(fēng)險(xiǎn)。供應(yīng)商并不總能了解自家產(chǎn)品是怎么部署的，而這可能會(huì)導(dǎo)致目標(biāo)運(yùn)營風(fēng)險(xiǎn)上存在差異。”

Childs和Bains主張，企業(yè)在做出漏洞修復(fù)決策時(shí)應(yīng)綜合考慮多個(gè)來源的信息，還應(yīng)該考慮一些其他因素，比如漏洞是否存在公開的野生漏洞利用程序，或者漏洞當(dāng)下是否已經(jīng)被廣為利用了。

Baines表示：“想要準(zhǔn)確確定漏洞的優(yōu)先級(jí)，企業(yè)需要能夠回答下列問題：這個(gè)漏洞是否存在公開的漏洞利用程序？已經(jīng)遭到野生漏洞利用了嗎？有沒有被勒索軟件或APT利用？是否可能暴露在互聯(lián)網(wǎng)上？”

來源：數(shù)世咨詢