赞
踩
事件响应和安全团队论坛 (FIRST,Forum of Incident Response and Security Teams) 于 2023 年 11 月 1 日正式推出第四版通用漏洞评分系统 (CVSS 4.0,Common Vulnerability Scoring System version 4.0)。CVSS 4.0 是评估计算机系统安全漏洞严重性的行业标准,是对之前版本 CVSS 的重大更新,带来了一些变化,这些变化将影响组织评估漏洞和确定漏洞优先级的方式。
在计算机科学中,漏洞是削弱系统整体安全性的缺陷或故障。漏洞可能是硬件本身或在其上运行的软件的弱点。
CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞。CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少一个参考)。
CVE 由 MITRE 公司于 1999 年与美国国土安全部 (DHS) 和美国网络安全和基础设施安全局 (CISA) 合作创立。
CVE 条目通常会包含一些有关漏洞的基本信息,用于管理信息安全风险。这些包括:
通过使用 CVE 系统,组织可以识别漏洞、确定优先级并缓解漏洞。
若想了解更多关于CVE的细节,可以参阅博主前期文章《 「 网络安全常用术语解读 」通用漏洞披露CVE详解》
通用缺陷枚举 (CWE,Common Weakness Enumeration) 是对可能导致漏洞的软件弱点进行分层分类,这些弱点被归为 CWE。CWE 也由 MITRE 维护,并由 DHS 和 CISA 办公室赞助,并得到 US-CERT 和 DHS 国家网络安全部门的支持。
每个 CWE 条目都分配有一个唯一的标识符,并包含有关弱点的信息,例如其类型、潜在后果和缓解技术。
CWE 有 600 多个类别,包括缓冲区溢出、路径/目录树遍历错误、竞争条件、跨站点脚本、硬编码密码和不安全随机数的类。
若想了解更多关于CVE的细节,可以参阅博主前期文章《 「 网络安全常用术语解读 」通用缺陷枚举CWE详解》
衡量漏洞的严重性对于确定修复工作的优先顺序和有效管理网络安全风险至关重要。有几个因素可能会影响漏洞的严重性,包括其严重性、可利用性和潜在影响:
通用漏洞评分系统(CVSS)是一个开放的行业标准,用于评估计算机系统安全漏洞的严重性。它提供了一种通用语言来描述漏洞的特征和影响,使安全专业人员和组织之间更容易共享和比较漏洞信息。该系统由美国国家基础设施咨询委员会 (NIAC) 于 2005 年开发,但后来转移到事件响应和安全团队论坛 (FIRST),该论坛现在负责维护和更新评分系统。
CVSS 基于三组指标:基础指标、时间指标和环境指标。
若想了解更多关于CVSS的细节,可以参阅如下官方文档:
基础指标评估漏洞的固有特征,包括以下标准:
时间指标反映了漏洞随时间变化的性质,包括以下标准:
环境指标考虑组织 IT 环境中漏洞的具体环境,并包括以下标准:
CVSS 根据这些指标分配严重性评分。 CVSS 分数越高表示漏洞越严重。 CVSS 分数可用于确定漏洞修复工作的优先级,并就减轻网络安全风险做出明智的决策。
CVSS 标准的最新修订版是在上一版本 CVSS 3.1 推出四年后发布的。
它旨在解决 CVSS 3.1 的一些缺陷,例如普遍缺乏评估漏洞严重性的粒度以及无法解决工业控制系统 (ICS) 问题。
CVSS 4.0 提供了漏洞评估的补充指标,例如安全性 (S)、可自动化性 (A)、恢复性 ®、价值密度 (V)、漏洞响应努力 (RE) 和提供商紧急性 (U)。
引入了一种新的命名法,使用基础 (CVSS-B)、基础 + 威胁 (CVSS-BT)、基础 + 环境 (CVSS-BE) 和基础 + 威胁 + 环境 (CVSS-BTE)
的组合来枚举 CVSS 分数严重程度评级。
FIRST表示此种命名法强化CVSS不仅仅是基本分数的概念,只要显示或传达CVSS数字值,就应该使用这种命名法。CVSS基本分数应辅以对环境的分析(环境指标)以及可能随时间变化的属性(威胁指标)。
[1] https://www.infosecurity-magazine.com/news-features/navigating-vulnerability-maze-cve/
[2] https://www.first.org/cvss/v4-0/
推荐阅读:
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。