亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

年初發布的一份研究報告無疑會讓企業安全團隊質疑僅憑美國國家漏洞數據庫（NVD）中的漏洞評分來做出修復優先級決策是否明智。

VulnCheck對12萬個CVE及其相關CVSS v3評分的分析顯示，近2.5萬個（大約20%）CVE都有兩個嚴重性評分。一個評分出自維護NVD的美國國家標準與技術研究所（NIST），另一個出自含漏洞產品的供應商。很多情況下，這兩個評分不盡相同，令安全團隊不知道該信哪個。

沖突發生率很高

有兩個嚴重性評分的漏洞中，大約56%（1.4萬個）這倆評分相互沖突，也就是NIST給出的漏洞嚴重性評分不同于供應商給出的。供應商評估為中等嚴重性的漏洞，NIST可能認為是嚴重漏洞。

VulnCheck以Windows輕量級目錄訪問協議（LDAP）拒絕服務漏洞CVE-2023-21557為例加以闡述。范圍為0~10分的CVSS評分中，微軟給這漏洞打了7.5分，定為“高”危。NIST則評估為9.1分，認為是“嚴重”漏洞。NVD中關于此漏洞的信息并未透露為什么這兩個評分不一樣，且該數據庫中遍布類似的評分沖突案例。

VulnCheck漏洞研究人員Jacob Baines表示，面對這么高的評分沖突率，漏洞管理團隊本就資源不足的企業可能就更難開展漏洞緩解工作了?！爸囟纫蕾嘋VSS評分的漏洞管理系統有時候會優先處理并不嚴重的漏洞?！彼f道，“而優先處理錯誤的漏洞會浪費掉漏洞管理團隊最重要的資源：時間?！?/p>

VulnCheck研究人員發現，NIST和供應商在向數據庫中添加漏洞相關特定信息方面也存在差異。研究人員著重審查了NVD中的跨站腳本（XSS）和跨站請求偽造（CSRF）漏洞。

分析顯示，主源（通常是NIST）將數據庫里1.2萬個CVE中的12969個歸為XSS漏洞，而輔助源列為XSS的CVE相較之下要少得多，為2091個。VulnCheck發現，輔助源很少提及XSS漏洞需要用戶交互才能利用。CSRF漏洞評分也存在類似的差異。

“XSS和CSRF漏洞通常需要用戶交互?！盉aines稱，“用戶交互是CVSS v3的一個評分因素，存在于CVSS v3向量中。審查NVD中XSS和CSRF漏洞包含此信息的頻率，可以揭示該數據庫中評分錯誤的規模?！?/p>

不能僅憑嚴重性評分

基于通用漏洞評分系統（CVSS）的嚴重性評分旨在讓修復和漏洞管理團隊能夠直觀了解軟件漏洞的嚴重程度。安全專業人員可以根據漏洞嚴重性評分判斷漏洞是低風險、中風險還是高風險，還?？蓳双@得軟件供應商在分配CVE時可能沒提供的漏洞相關上下文。

很多企業采用CVSS標準給自己產品中的漏洞賦予嚴重性評分，安全團隊通常會用該評分決定自身環境中脆弱軟件的修復順序。

盡管CVSS很普及，很多專業人士此前也都警告過，不能僅僅依靠CVSS可靠性評分來確定修復優先級。2022年美國黑帽大會的一場會議上，趨勢科技零日計劃（ZDI）研究人員Dustin Childs和Brian Gorenc就指出了不能單靠CVSS評分的多個原因，比如缺乏關于漏洞可利用性、漏洞普遍性，以及攻擊容易程度等信息。

“企業資源有限，通常不得不確定先修復哪些漏洞。然而，如果他們獲得的信息相互矛盾，可能最后會把資源花費在了不太可能被利用的漏洞上。”

Childs指出，企業通常依賴第三方產品來幫助確定漏洞的優先級，決定首先修復哪些漏洞。很多時候他們都傾向于采用來自供應商的CVSS評分而不是NIST這樣的其他來源。

“但是，不能總是依賴供應商坦白真實的風險。供應商并不總能了解自家產品是怎么部署的，而這可能會導致目標運營風險上存在差異?！?/p>

Childs和Bains主張，企業在做出漏洞修復決策時應綜合考慮多個來源的信息，還應該考慮一些其他因素，比如漏洞是否存在公開的野生漏洞利用程序，或者漏洞當下是否已經被廣為利用了。

Baines表示：“想要準確確定漏洞的優先級，企業需要能夠回答下列問題：這個漏洞是否存在公開的漏洞利用程序？已經遭到野生漏洞利用了嗎？有沒有被勒索軟件或APT利用？是否可能暴露在互聯網上？”

來源：數世咨詢