1. 前言
在当今数字化的时代,网络安全问题日益凸显,漏洞的发现和评估成为保障系统安全的关键环节。而通用漏洞评分系统(CVSS)作为一种广泛应用的漏洞评估标准,对于准确衡量漏洞的严重程度起着至关重要的作用。本文将带你深入了解 CVSS 的发展历程、各个版本的特点以及其在不同行业领域的应用。
2. CVSS 的诞生与发展
CVSS 最早于 2005 年发布了 1.0 版本。这个版本首次提出了一个通用的漏洞评分方法,旨在为安全专业人员提供一种一致的方式来评估漏洞的严重程度。然而,由于是首次推出,未经过充分同行评审,指标定义模糊,评分过程也较为艰难。
随着时间的推移和安全领域的不断发展,CVSS 2.0 版本在 2007 年应运而生。这一版本细化了评分粒度,明确了各评分指标的定义,并且引入了时效性评估和环境评估指标来补充基础指标,使得漏洞评估更加全面和准确。
2015 年,CVSS 3.0 版本发布。它新增了用户交互(UI)和必要权限(PR)两个指标,为攻击复杂度(AC)指标引入了新的取值,还新增了 Scope (S) 指标来处理漏洞影响其他系统的情形。这一版本在漏洞评估的准确性和全面性上有了很大的提升。
2019 年,CVSS 3.1 版本推出。它没有引入新的指标,主要是对标准给出了更清晰的解释,增加了易用性,使得安全专业人员更容易理解和应用 CVSS 标准。
2023 年 10 月,CVSS 4.0 版本正式发布。它重新定义了评分术语体系,强调 CVSS 不等同于 CVSS 基础分;增加了新指标 Attack Requirements,从 Attack Complexity 中单独拆分出该指标以细化评分粒度;并且尝试解决 CVSS 3.x 版本面临的诸多挑战。
3. CVSS 各个版本的区别
CVSS 4.0 与之前版本的区别如下:
| 比较项目 | CVSS 1.0 | CVSS 2.0 | CVSS 3.0 | CVSS 3.1 | CVSS 4.0 |
|---|---|---|---|---|---|
| 发布时间 | 2005 年 2 月 | 2007 年 6 月 | 2015 年 6 月 | 2019 年 6 月 | 2023 年 10 月1 |
| 主要变化或特点 | 首次推出,未经过充分同行评审,指标定义模糊,评分过程艰难 | 细化评分粒度,明确各评分指标定义,引入时效性评估和环境评估指标补充基础指标 | 新增用户交互(UI)和必要权限(PR)两个指标,为攻击复杂度(AC)指标引入新取值,新增 Scope (S) 指标处理漏洞影响其他系统的情形 | 未引入新指标,对标准给出更清晰解释,增加易用性 | 重新定义评分术语体系,强调 CVSS 不等同于 CVSS 基础分;增加新指标 Attack Requirements,从 Attack Complexity 中单独拆分出该指标以细化评分粒度;解决 CVSS 3.x 基础评分被过度依赖、评分适用范围局限、漏洞评分难区分危害程度、评分计算粒度不够、Scope 等指标打分依据不易理解且结论有分歧等问题 |
| 评分指标 | 基础评价部分指标定义模糊 | 攻击途径、攻击复杂度、认证、机密性、完整性、可用性 | 攻击途径、攻击复杂度、权限要求、用户交互、作用域、机密性影响度、完整性影响度、可用性影响度 | 同 CVSS 3.0 | CVSS - B:CVSS 基础分;CVSS - BT:CVSS 基础分 + 威胁分;CVSS - BE:CVSS 基础分 + 环境分;CVSS - BTE:CVSS 基础分 + 威胁分 + 环境分;增加 Attack Requirements(攻击成功是否依赖系统特定部署和执行条件),从原 Attack Complexity 中拆分出 Attack Complexity(规避或绕过安全防御手段进行漏洞利用的工程复杂度) |
| 评分计算方式 | 无明确详细计算方式 | 基础评价得分 = 10× 攻击途径 × 攻击复杂度 × 认证 ×((机密性 × 机密性权重)+(完整性 × 完整性权重)+(可用性 × 可用性权重)) | 基础评价得分 = 可利用性评分 + 影响度评分,可利用性评分 = 8.22× 攻击途径 × 攻击复杂度 × 权限要求 × 用户交互;影响度评分计算较复杂且与作用域有关 | 同 CVSS 3.0 | 计算方式有调整,具体公式暂未明确详细列出 |
| 漏洞等级定义 | 无明确等级定义 | 低、中、高 | 补充 “严重” 级别,具体为:0-3.9 分为低,4-6.9 分为中,7-8.9 分为高,9-10 分为严重 | 同 CVSS 3.0 | 暂未明确提及漏洞等级定义方式是否变化 |
| 适用性 | 适用于不同行业,但存在诸多问题 | 适用性有所提升 | 进一步优化,适用范围扩大,但仍存在一些局限性 | 同 CVSS 3.0 | 尝试解决之前版本适用性的局限,如更好地反映漏洞对于人身安全、工业控制系统的影响等,但具体适用范围的变化暂未完全明确 |
| 其他 | 发布后遭到诸多批评 | 评分体系更完善,但仍有改进空间 | 引入新机制和概念,使评分更准确全面,但也面临新挑战 | 对标准进行优化解释,易用性提升 | 为解决 CVSS 3.x 面临的挑战而推出,如基础评分被过度用作风险分析首要依据、对非 IT 系统影响反映不足、漏洞评分难区分危害、评分计算粒度不够、部分指标不易理解和结论有分歧等问题 |
4. CVSS 在不同行业领域的应用
4.1. 信息技术行业
软件开发商:在开发过程中,使用 CVSS 评估所开发软件中发现的漏洞,以便确定哪些漏洞需要优先修复,合理分配开发资源来解决安全问题,确保软件发布时的安全性。当有新的漏洞被发现或报告时,通过 CVSS 评分快速判断漏洞对其软件产品的影响程度,及时发布补丁或更新。
企业信息技术部门:对于企业内部使用的各种软件和系统,利用 CVSS 评估漏洞严重程度,制定漏洞修复计划,优先处理严重程度高的漏洞,保障企业信息系统的正常运行和数据安全。在进行系统升级、更新或引入新的软件时,参考 CVSS 评分来评估相关风险。
互联网服务提供商:评估其提供的各种互联网服务(如网站、云服务等)中存在的漏洞,确保服务的安全性和可靠性,避免因漏洞导致服务中断或用户数据泄露。根据 CVSS 评分来决定对漏洞采取的应对措施的紧急程度。
4.2. 金融行业
银行和金融机构:保障客户资金安全和金融交易的安全,使用 CVSS 评估网络银行系统、金融交易软件等方面的漏洞,对严重漏洞快速响应,防止黑客利用漏洞进行盗窃或欺诈。满足金融行业的严格监管要求,在应对监管机构的安全检查和合规审计时,利用 CVSS 评分作为漏洞管理和风险控制的依据。
证券和保险行业:证券交易系统中,使用 CVSS 评估漏洞以保障交易数据的安全和交易过程的稳定,避免因漏洞导致交易异常或信息泄露,影响市场秩序和投资者利益。保险机构在其业务系统和客户信息管理系统中,运用 CVSS 评估漏洞,保护客户隐私和保险业务的正常开展。
4.3. 电信行业
电信运营商:评估通信网络设备和服务中的漏洞,如基站设备、核心网络系统等,防止漏洞被利用来攻击网络,导致通信中断或服务质量下降。对于提供给用户的增值服务(如短信服务、移动支付等),利用 CVSS 评估漏洞风险,保障用户的通信体验和财产安全。
网络设备制造商:在产品研发和测试阶段,使用 CVSS 评估设备的安全漏洞,提高产品的安全性,减少产品上市后被发现安全漏洞的风险。当有安全漏洞报告时,根据 CVSS 评分来决定是否需要召回产品或发布紧急补丁。
4.4. 工业控制系统领域(如制造业、能源行业等)
制造业:工厂自动化生产线的控制系统中,使用 CVSS 评估漏洞,避免漏洞被利用导致生产线故障、生产数据泄露或被篡改,保障生产的连续性和产品质量。评估企业内部的工业物联网系统中的漏洞,确保设备之间的通信安全和数据传输安全。
能源行业(电力、石油、天然气等):评估电力系统的 SCADA 系统(监控和数据采集系统)、发电设备控制系统等中的漏洞,防止电力系统被攻击导致停电事故,影响能源供应和社会正常运转。石油和天然气行业的管道控制系统、油井监测系统等,利用 CVSS 评估漏洞,保障能源生产和输送过程的安全。
4.5. 医疗行业
医疗器械制造商:评估医疗器械(如心脏起搏器、医疗影像设备等)中的软件漏洞,确保医疗器械的安全性和可靠性,避免漏洞对患者健康造成威胁。在医疗器械的研发过程中,依据 CVSS 评估来加强安全设计,降低安全风险。
医院和医疗保健机构:评估医院信息系统(如电子病历系统、医疗设备管理系统等)中的漏洞,保护患者隐私和医疗数据安全,同时确保医疗服务的正常开展。对于医疗物联网设备(如智能输液泵、远程医疗设备等),使用 CVSS 评估漏洞,防止设备被攻击或数据被篡改。
4.6. 政府和公共服务领域
政府部门:评估政府信息系统(如政务办公系统、公共服务平台等)中的漏洞,保护国家机密信息和公民个人信息安全,维护政府的公信力和社会稳定。在关键基础设施(如交通、水利、国防等)的信息系统中,运用 CVSS 评估漏洞,确保关键基础设施的安全运行。
公共服务机构(如教育、交通、水电燃气等):教育机构评估学校的网络系统和教学管理系统中的漏洞,保护学生信息和教学资源安全。交通部门评估交通管理系统、票务系统等中的漏洞,保障交通运输的安全和顺畅。水电燃气等公共事业部门评估其生产和运营管理系统中的漏洞,确保能源供应和公共服务的可靠性。
5. 获取 CVSS 4.0 评分信息的网站
以下是一些可以获取 CVSS 4.0 评分信息的网站:
5.1. FIRST 官方网站
FIRST(事件响应和安全团队论坛)是 CVSS 的发布和维护组织。在其官方网站(https://www.first.org/cvss/v4-0/)上可以获取到 CVSS 4.0 的详细规范文档、相关培训课程信息以及关于该标准的最新动态和解读等,是最权威的 CVSS 4.0 信息来源。
5.2. NIST 的 National Vulnerability Database(NVD)
美国国家标准与技术研究院(NIST)维护的国家漏洞数据库,是美国国家网络安全基础设施的关键部分。其网站(https://www.nist.gov/itl/nvd)上的漏洞详情页面的指标部分会包含 CVSS 4.0 的数据(如果有),并且提供了 CVSS 4.0 计算器、漏洞搜索表单(可按 CVSS 4.0 标准进行搜索)以及漏洞搜索结果中会显示 CVSS 4.0 的相关标识等功能。
5.3. 安全资讯类网站或技术论坛
一些专注于网络安全资讯的网站或技术论坛,可能会在漏洞信息的报道和分析中提及 CVSS 4.0 的评分。例如,BleepingComputer、The Hacker News 等网站,它们会及时发布有关漏洞的新闻和分析文章,其中可能会涉及到 CVSS 4.0 的评分信息,但这些信息可能不是最全面和最系统的,需要进一步筛选和整理。
6. CVSS 4.0 评分信息的分析案例
6.1. 远程代码执行漏洞
漏洞描述:某应用程序存在一个远程代码执行漏洞,攻击者可以通过网络远程向该应用程序发送精心构造的数据包,从而在服务器上执行任意代码。
CVSS 4.0 评分分析:
攻击向量(Attack Vector):由于该漏洞可以通过网络远程利用,攻击向量为 “网络(N)”,这是一个较高的攻击途径,对漏洞的严重程度有较大影响,会增加评分。
攻击复杂度(Attack Complexity):如果该漏洞利用起来相对简单,不需要攻击者具备很高的技术能力和复杂的操作,那么攻击复杂度可能被评为 “低(L)”,这会在一定程度上降低整体评分,但由于攻击向量的影响较大,整体评分仍然会较高。
攻击要求(Attack Requirements):假设该漏洞不需要依赖系统的特定部署和执行条件,攻击要求为 “无(N)”,这对评分是一个有利因素,会稍微降低一些评分。
权限要求(Privileges Required):如果攻击者利用该漏洞成功后可以获得较高的权限,比如管理员权限,那么权限要求可能被评为 “高(H)”,这会提高漏洞的评分。
最终评分及影响:综合以上因素,该远程代码执行漏洞的 CVSS 4.0 评分可能处于较高的范围,属于 “严重(Critical)” 级别。这意味着该漏洞对系统的安全性具有极大的威胁,需要立即采取措施进行修复,否则可能导致系统被攻击者完全控制,造成敏感信息泄露、业务中断等严重后果。
6.2. SQL 注入漏洞
漏洞描述:某网站的用户输入页面存在 SQL 注入漏洞,攻击者可以通过在输入框中输入特定的 SQL 语句,获取数据库中的敏感信息。
CVSS 4.0 评分分析:
攻击向量:攻击者可以通过网络访问该网站的用户输入页面来进行攻击,所以攻击向量为 “网络(N)”,增加了漏洞的严重程度评分。
攻击复杂度:如果该网站对用户输入的过滤和验证不严格,使得攻击者很容易构造出有效的 SQL 注入语句,那么攻击复杂度可能被评为 “低(L)”,进一步提高了漏洞的可利用性和评分。
攻击要求:一般来说,SQL 注入漏洞不需要依赖系统的特殊部署和执行条件,攻击要求为 “无(N)”,对评分有一定的积极影响,但由于其他因素的影响较大,整体评分仍然较高。
权限要求:如果通过该 SQL 注入漏洞,攻击者可以获取到数据库的读写权限,那么权限要求可能被评为 “中(M)” 或 “高(H)”,这也会提高漏洞的评分。
最终评分及影响:该 SQL 注入漏洞的 CVSS 4.0 评分可能在 “高(High)” 到 “严重(Critical)” 级别之间。这表明该漏洞对网站的数据库安全构成了严重威胁,可能导致大量用户数据泄露,给用户和网站带来巨大的损失。网站管理员需要尽快修复该漏洞,加强对用户输入的验证和过滤,以提高系统的安全性。
6.3. 权限提升漏洞
漏洞描述:某操作系统存在一个权限提升漏洞,普通用户可以利用该漏洞将自己的权限提升为系统管理员权限。
CVSS 4.0 评分分析:
攻击向量:如果该漏洞可以在本地系统上被利用,那么攻击向量可能为 “本地(L)”,相对于远程攻击向量,其评分影响相对较小,但仍然是一个重要的因素。
攻击复杂度:权限提升漏洞的利用通常需要对操作系统的内部机制有一定的了解,但如果该漏洞的利用方法已经被公开或者相对容易被发现,那么攻击复杂度可能被评为 “中(M)”。一方面,普通用户想要利用这个漏洞进行权限提升,虽然有公开的方法可参考,但仍需要对操作系统有一定程度的熟悉,不能完全毫无门槛地进行操作。另一方面,虽然不是极高的复杂度,但也不是特别容易,所以处于中等水平。
攻击要求:该漏洞的攻击可能需要在特定的操作系统环境下进行,并且可能需要一些前置条件,比如用户已经拥有一定的系统访问权限,所以攻击要求可能为 “有条件(C)”。这意味着并非所有情况下都能轻易利用这个漏洞进行权限提升,需要满足特定的条件,这在一定程度上降低了漏洞的可利用性和评分。
权限要求:因为攻击者的目的是提升自己的权限,所以权限要求为 “低(L)”,即利用该漏洞不需要很高的权限,这会提高漏洞的可利用性和评分。普通用户本身权限较低,而通过这个漏洞可以将权限提升到管理员级别,所以在权限要求这一方面相对容易满足。
最终评分及影响:综合考虑这些因素,该权限提升漏洞的 CVSS 4.0 评分可能在 “中(Medium)” 到 “高(High)” 级别之间。这意味着该漏洞可以让普通用户获得系统的高级权限,从而对系统的安全性造成严重威胁。如果不及时修复这个漏洞,可能导致系统被恶意用户控制,他们可以进行非法操作,如安装恶意软件、窃取敏感信息或者破坏系统的稳定性。系统管理员需要及时安装补丁,修复该漏洞,以防止权限被非法提升,保障系统的安全运行。
7.总结
通用漏洞评分系统(CVSS)历经多个版本发展,在漏洞评估方面发挥着关键作用,为不同行业的安全管理提供了重要依据。
然而,CVSS 并非完美无缺,仍存在局限性,在实际应用中需结合具体情况综合考量其评分结果。
展望未来,随着网络安全形势变化和技术进步,CVSS 将不断发展完善,为保障网络安全持续贡献力量。
