最后更新于2023年8月18日(星期五)21:30:10 GMT

通用通用漏洞评分系统(CVSS)版本4的未决更新.0, 获得了大量的文章, 博客文章和饮水机(现在被称为Slack和Zoom)的播放时间. 社区的反应是积极的, 人们普遍认为这接近于“实际”.”

CVSS为评估漏洞的潜在严重性(以及在许多情况下的影响)提供了一种标准化的方法,因此组织可以就如何响应特定的安全问题做出明智的决定. 它的基本原理已被供应商广泛采用, researchers, academics, 脆弱性分析专家.


随着时间的推移,该标准在2月发布了v1. v2在2007年6月,v3在2015年6月. 当前版本(v3.1) 2019年6月首次亮相. 第4版定于2023年10月1日发布.

所以,什么是新的CVSS v4?

CVSS v4引入了一些有意义的改进,这些改进包裹在一点细微的复杂性中, 特别是如果你是一个供应商或威胁研究人员,负责提供基本分数. 追溯到CVSS v1, 标准已经认识到像时间这样的东西, 目标值, 利用活动, 特定的操作环境都会影响与特定漏洞相关的风险数量. 在最近的CVSS版本的开发中寻求了完整性和易用性之间的平衡.

时间和环境度量旨在提供业务上下文,以帮助影响权衡决策. However, 这些指标在v3中是“可选的”, 采用率停滞不前,从未真正超越基本指标的使用. 现实反映了这一观察结果,部分原因是由于评估者的解释造成了分数的主观性。, human bias, 但最重要的事实是,计算“可选的”度量标准需要组织在其他领域投入的资源和时间.

下面的总结是在每个评分系统v4组中依次呈现的:

基本度量组和定义

通过引入四(4)组来提高精度和准确性,而到目前为止只有一组在实际使用中. The 规范文档 也强调了基本指标, 由供应商和研究人员提供, 代表内在品质. 威胁与环保组织, 提供业务和情景上下文的目的是什么, 只能是, 由最终用户组织提供.

  • 明确CVSS-B的设计目的是衡量漏洞的严重程度,不应单独用于评估风险, 而CVSS-BTE更接近于风险.
  • CVSS-B -基础指标加上….. [现在常用的,由基本公制组组成]
  • CVSS-BT -基础和威胁度量
  • CVSS-BE -基础和环境指标
  • CVSS-BTE -基础,威胁,环境指标
  • 稍后将详细介绍补充度量组

Figure 1. CVSS v.4度量组,第一.org (2023)

可利用性指标 提供澄清 改进经常被引用的缺乏粒度的问题

  • Attack Vector (物理/逻辑位置)- {网络,相邻,本地,物理}
  • 攻击的复杂性 (对缓解控制的考虑)- {Low, High}
  • 攻击的需求 (利用/攻击成功的依赖关系)- {None, Present},
  • 权限要求 (在企图利用之前需要)- {没有,低,高}
  • 用户交互 (是否需要参与)- {无,被动,主动}

影响指标 澄清Impact衡量攻击后的后果, 还提供了使用指南(带有示例),并考虑了跨机密性(C)的易受攻击(主要)和后续(次要)系统。, 完整性(I)和可用性(A)维度来改进应用程序和使用, 这些度量取代了v3中经常被批评和误用的Scope度量.x.

  • 易受攻击的系统机密性 (授权用户以外的资料披露)- {高,低,无}
  • 脆弱的系统完整性 (资料丧失信任或准确性)- {高,低,无}
  • 易受攻击的系统可用性 (无法访问计算资源)- {高,低,无}
  • 后续系统机密性 (授权用户以外的资料披露)- {高,低,无}
  • 后续系统完整性 (资料丧失信任或准确性)- {高,低,无}
  • 后续系统可用性 (无法访问计算资源)- {高,低,无}

威胁度量组和定义


以前在v3中称为时态度量.x, 威胁指标 旨在提供特定CVE被攻击的“可能性”, 在得出“开发成熟度”值时,应评估三(3)个组成部分{未定义、攻击、概念验证、未报告},其责任在于受影响的组织.

  • 利用技术的现状(例如. 考虑机器学习的进步 Mitre ATT&CK TTPs)
  • 利用代码可用性(例如. Github上有POC吗?
  • 主动的、可观察到的剥削(例如. 威胁分析师或TIP告诉你什么?

环境测量组


比如威胁度量组, 这组评估旨在由受影响的组织派生,并允许分析师进一步为受影响的资产/系统的用例定制任何一个CVSS分数. 我们回到安全基本的“CIA三合一”作为修改或定制整体CVSS v4分数的措施。.

  • 保密性|完整性|可用性要求 - {Not Defined (选择价值的信息不足), High (灾难性的副作用), Medium (严重不良反应), Low (不良影响有限)}

修改后的基本指标 环境小组的目标是编纂“缓解措施”,这些措施可能适用于任何漏洞或捕获由于缺乏预期控制而导致风险更大的实例-例如暴露在互联网上的管理UI.

为安全(人类安全)提供的住宿,剥削可能导致伤害或更糟的情况.

补充度量组

An 全新的团队 可选择的措施,以适应广泛的外部因素,可以影响风险决策,包括考虑

  • Automatable (攻击者可以自动进行大规模攻击吗)- {未定义,否,是}
  • Recovery (系统在受到攻击后恢复性能和可用性的能力)- {未定义、自动、用户、不可恢复}
  • Safety (可预测的伤害使用的冲击程度 IEC 61508后果分类) - {未定义,存在,可忽略}
  • Value Density (攻击者在一次攻击后获得的资源等级)- {未定义,扩散,浓缩}
  • 提供者的紧迫性 (补充紧急等级,可供供应链中的任何供应商使用)- {未定义,红色,琥珀色,绿色,透明}
  • 漏洞响应工作 (建议补救/缓解所涉及的努力程度(LOE)的补充信息)- {未定义,低,中,高}

这就总结了与用于派生和补充CVSS v4分数的度量相关的更改的摘要. 还有一些功能上的调整,包括:

  • 向量的字符串 更新以适应所有修订的度量定义和版本控制, 对某些人来说,这在实际使用中可能有点笨拙, 但是机器可读具有可扩展的价值 准备好你的解码器环 (ex. CVSS:4.0 / AV: P /交流:H /: P /公关:H / UI: N / VC: L / VI: H / VA: N / SC: N / SI: H / SA: L / S, P / R: U / RE: M / U:明确的/飞行器:/垫:P / MPR: N /梅:A / MVC: H /本:L / MVA: N / MSC: H / MSI: L / MSA: N / CR: H /红外:米/ AR: L / E: P)[查看 交互式Caclulator]
  • 定性和定量改进,创造更大的vuln评分分布和评分结果, 改进基础方程以生成分数
  • 适应多个产品版本的独特基础分数, 平台和/或OS(操作系统)
  • 软件漏洞基线指引合理的最坏的实现场景,并消除关于软件库效果的混淆,例如
  • 更有力地倡导将资产管理和脆弱性管理系统的数据关联起来, 只要有可能, 推动所有四(4)个度量组的采用和使用, 同样,更好地整合和优化威胁情报的使用
  • and, 最后考虑过渡支持,以便一个漏洞可以容纳两个v4的使用.0分和当前v3.1 scores.

日常影响

我不认为计算和LOE得出的CVSS-B(基本度量)分数会显著增加, 但是,思考过程和底层分析序列将需要对现有过程进行一些更新. 基本度量过程更新的大部分将落在 通常的嫌疑人和大量的供应商. 更有趣的影响将影响安全团队和漏洞分析人员. 这不是挑衅性的建议操作 optional 指标,都在v3中.在目前的提案中,可能需要相当大的提升. 考虑一个漏洞分析师在一个典型的补丁星期二需要投入的努力,为每个相关的CVE导出威胁度量和环境度量组. 对于每个星期二补丁的每个新vuln和派生都这样做很容易影响到下一个补丁周期, 因此,使用企业级漏洞管理解决方案(如Rapid7 IVM)的自动化将继续成为促进大规模高效漏洞响应的必要条件.

前面的场景正是开发和发布的基本原理 Rapid7的新风险评分模型. 它将提供风险评估系统的许多核心原则,包括适应组织特定因素的灵活性,如在威胁和环境度量组业务中定义的那些因素,为团队提供修复目标的优先级列表.

Summary

虽然在感知上很复杂, 因此提出CVSS v4是有意义的, 良好的研究和结构化框架,以推进脆弱性管理学科. 正如许多人所认为的, 在……方面还有改进的余地, 现在可以开车了, 评分系统和在网络安全的严谨性和实际使用中所考虑的一切 v4 User Guide.

了解社区对采用规模和复杂性的反应将是一件很有趣的事情——所有这些都是一次性的“大爆炸”方法或在更长的时间范围内渐进的变化. 此外,新系统在实践中采用了多少. 无论如何,最终的工作和努力在规模和细节上都令人印象深刻. 它将引起网络安全和更广泛的信息技术领域的许多人的共鸣,当然也会给其他人带来一些早该考虑的问题.

匿名公众意见征询期(cvss@first.org)于2023年7月31日关闭. First.org的目标是在8月31日之前对所有反馈进行审查和处理, 2023, 计划于10月1日正式发布, 2023.