亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

評(píng)定一個(gè)漏洞其業(yè)務(wù)風(fēng)險(xiǎn)的優(yōu)先級(jí)是否高于另一個(gè)漏洞的機(jī)制一直令人擔(dān)憂。從幾十年前，保護(hù)業(yè)務(wù)應(yīng)用程序和基礎(chǔ)設(shè)施不受到完全披露的漏洞的影響開始，漏洞評(píng)分現(xiàn)在已經(jīng)開始涉及胰島素泵和電傳飛控中模糊的缺陷，而這些缺陷可能會(huì)危及生命。

安全行業(yè)一直在努力 “評(píng)估” 一個(gè)新發(fā)現(xiàn)的漏洞所帶來的威脅有多大，最近的行業(yè)實(shí)踐更加關(guān)注如何進(jìn)行這項(xiàng)評(píng)估工作。

隨著漏洞賞金計(jì)劃的發(fā)展和小型安全咨詢公司垂直專業(yè)化，發(fā)現(xiàn)嚴(yán)重程度高的漏洞往往會(huì)給發(fā)現(xiàn)者帶來直接的經(jīng)濟(jì)回報(bào)。因此，發(fā)現(xiàn)的漏洞的重要程度和危險(xiǎn)程度都要高。在越來越多的情況下，營(yíng)銷團(tuán)隊(duì)會(huì)在全球范圍內(nèi)開展宣傳活動(dòng)，向公司發(fā)出警告、使其感到害怕并推動(dòng)業(yè)務(wù)發(fā)展。

自從第一個(gè)商業(yè)漏洞掃描器開始用高、中、低這三類嚴(yán)重程度來分類其發(fā)現(xiàn)的漏洞以來，已經(jīng)將近 25 年了。即使在那個(gè)時(shí)候，安全專業(yè)人士也會(huì)因?yàn)閷?yán)重性與 “風(fēng)險(xiǎn)” 混淆而犯錯(cuò)誤。

在上世紀(jì)初，隨著企業(yè)與千年蟲爭(zhēng)斗，第一代專業(yè)滲透測(cè)試咨詢公司開始將諸如 “可利用性”，“被利用的可能性” 和 “被利用后的影響” 等因素納入其日常報(bào)告和最終報(bào)告中，來區(qū)分嚴(yán)重程度相同的漏洞?？蛻粝矚g額外的細(xì)節(jié)，但是這個(gè)評(píng)分系統(tǒng)高度依賴于顧問制表和報(bào)告結(jié)果的技能和經(jīng)驗(yàn)。盡管 20 年前的滲透測(cè)試現(xiàn)在有了個(gè)新名字叫 Red Teaming（紅隊(duì)測(cè)試），并越來越多地在內(nèi)部進(jìn)行，但漏洞風(fēng)險(xiǎn)評(píng)分仍然很有價(jià)值——但它更像是一門藝術(shù)，而非科學(xué)。

也許在確定新漏洞（或威脅）的重要性方面最大的創(chuàng)新是通用漏洞評(píng)分系統(tǒng) (Common Vulnerability Scoring System, CVSS)。當(dāng)我在 Internet Security Systems（2006年被IBM收購(gòu)）擔(dān)任 X-Force 的負(fù)責(zé)人時(shí)，我很幸運(yùn)能為該公司的產(chǎn)品做出了貢獻(xiàn)，并幫助推動(dòng)了整個(gè)產(chǎn)品的發(fā)展。作為（當(dāng)時(shí)）主要的自動(dòng)化掃描器和托管漏洞掃描供應(yīng)商，2005 年 CVSS v1 量表的開發(fā)和使用改變了這個(gè)行業(yè)，并在量化漏洞特性的權(quán)重方面引發(fā)了新的爭(zhēng)論，這種加權(quán)方法在今天的 CVSS 3.1 版本中仍然存在爭(zhēng)議。

CVSS 旨在總結(jié)軟件或設(shè)備中的漏洞在其所處環(huán)境中的嚴(yán)重性，而不是評(píng)估依賴于軟件或設(shè)備的系統(tǒng)。因此當(dāng)我聽說 CVSS 評(píng)分被錯(cuò)誤地用于評(píng)估漏洞對(duì)組織機(jī)構(gòu)、設(shè)備制造商或終端用戶構(gòu)成的風(fēng)險(xiǎn)時(shí)，我深感擔(dān)憂。

最近有一篇文章中指出了這一點(diǎn)，這篇文章認(rèn)為漏洞評(píng)分存在的缺陷將患者的生命置于危險(xiǎn)之中。一方面，研究人員指出盡管 CVSS 對(duì)新漏洞的評(píng)分僅為中等 (5.8分/ 10分)，但是如果攻擊者成功的利用該漏洞可以調(diào)整藥物劑量水平，并有可能殺死病人。另一方面，醫(yī)療設(shè)備制造商認(rèn)為由于漏洞得分相對(duì)較低，因此可能不需要加快修復(fù)該漏洞和后續(xù)的監(jiān)管預(yù)警。

就 CVSS 而言，研究人員和醫(yī)療設(shè)備供應(yīng)商都錯(cuò)了。CVSS 不是，也不應(yīng)該被用來當(dāng)作風(fēng)險(xiǎn)評(píng)分。

過去 20 年來，很多聰明的人改進(jìn)了 CVSS 評(píng)分，使其作為一個(gè)嚴(yán)重性指標(biāo)更加準(zhǔn)確和有用，但他們一直在尋找通過量化環(huán)境因素和連鎖影響，將其納入風(fēng)險(xiǎn)評(píng)分中的方法。今天，CVSS 得分并不能被當(dāng)做風(fēng)險(xiǎn)評(píng)分——它可能永遠(yuǎn)不能，因?yàn)槊總€(gè)行業(yè)對(duì)風(fēng)險(xiǎn)的評(píng)估都不一樣，每個(gè)企業(yè)都有自己的風(fēng)險(xiǎn)因素，而外部人員不會(huì)知道。

我要提醒任何漏洞賞金獵人、安全分析師、軟件供應(yīng)商或設(shè)備制造商，不要依賴 CVSS 來決定需要優(yōu)先修復(fù)的部分。它是風(fēng)險(xiǎn)計(jì)算中的一個(gè)重要變量，但它本身并不足以代表風(fēng)險(xiǎn)本身。

本文原作者：Gunter Ollmann，安全高管和技術(shù)專家，現(xiàn)任微軟云與AI安全部CSO，曾供職于IBM。