CVSS系统因未能解决现实世界的影响而受到批评

新的研究强调了现有CVSS评分系统的弱点，现有指标被认为是“过度宣传”某些漏洞的原因。所谓的“过度膨胀”评级可能会耗尽网络安全团队的有限时间，他们可能不会专注于最有可能影响其组织的漏洞，而是关注被认为是全面关键的问题。

安全工具供应商JFrog进行的一项分析涉及访问流行的通用漏洞评分系统(CVSS)，这是一个用于评估安全问题严重性的开放行业标准框架。该系统由非营利性事件响应和安全团队论坛(FIRST) 管理，国家漏洞数据库(NVD)为已确认的漏洞提供CVSS评分。

JFrog的分析侧重于访问开源软件中安全漏洞的影响，得出的结论是，公共CVSS影响指标可能过度简化了漏洞带来的风险，因为它缺乏上下文等因素。

根据报告(PDF)，“对DevOps和DevSecOps团队影响最大的开源安全漏洞分析”，公共严重性评级与JFrog对2022年前50名CVE的内部评估之间存在“差异”。

JFrog的安全研究人员表示，在“大多数”情况下，该公司自己的CVE（常见漏洞和暴露）严重性评估低于NVD中指定的评级——“这意味着这些漏洞通常被夸大了”。

例如，X.509证书验证中的缓冲区溢出CVE-2022-3602(CVSS 7.5) 引起了严重关注 – 直到该漏洞的技术细节发布，这表明对现实世界的影响很小，据称研究人员。

总的来说，排名前50的CVE中有64%的JFrog严重性评级较低，而90%的评级较低或相同。

JFrog表示，许多NVD安全评级是“不值得的”，因为它们并不像报道的那样容易被利用。此外，许多分析的漏洞需要复杂的配置环境或特定条件才能成功攻击。

网络安全公司提出的另一个批评是，在分配CVE攻击复杂性指标时可能缺乏上下文。例如，考虑潜在易受攻击的软件的部署方式、网络环境、软件的使用方式，或者易受攻击的API是否最终会解析不受信任的数据，都应该进行分析。结果是严重性等级可能设置得太高或太低。

JFrog还观察到，2022年影响企业的10个最普遍的漏洞往往具有较低的严重性评级，因此被企业IT团队和开源项目维护人员视为较低优先级——因此补救工作要么被延迟，要么（更糟）完全无视。

如果一个错误被认为太小而不必费心，开发人员可能不会创建补丁，JFrog 说这只会随着时间的推移增加受影响系统的数量。相反，如果CVSS评级很高但现实世界的影响被认为是微不足道的，则威胁级别可能会被误导。

JFrog安全研究高级主管Shachar Menashe在接受采访时表示，最好的解决方案是更新CVSS标准以包含可提供更多上下文的字段，例如默认配置中的可利用性以及是否存在上下文依赖的攻击向量。

梅纳什补充说：“因为每个人都已经在使用CVSS，所以这是阻力最小的途径。CVSS v4.0已经开发了很长时间，但仍然没有具体的可用日期。最重要的是，NVD需要对CNA提交的CVSS分数更加开放（CNA提交的CVSS多次被忽略）。还有一个新的比较方案——EPSS ，但我认为它的可行性还没有被证明，而且它的实施也很不透明，所以我们只能等待以后通过实证结果来判断。”

许多网络安全专家承认，现有的CVSS系统是有限的，而经验可以填补漏洞评估过程中的空白。JFrog进行的定量研究支持许多信息安全专业人士的“直觉”，即当前的漏洞评分系统需要改造。

当被问及 JFrog 的批评时，FIRST 执行董事克里斯吉布森表示，一般来说，“评分提供商提供'合理的最坏情况'基本分数，并依靠消费者来减轻（降低）最终分数”。

Gibson 表示，临时威胁信息、资产关键性、补偿控制（例如防火墙过滤器）和其他环境评分“旨在将评分降低到更合适、更适用的水平。

“第三方，例如 JFrog，可以通过提供威胁情报（时间评分）来帮助消费者，允许使用完整的 CVSS 评分来更好地跟踪补丁优先级和技术风险。”

当被问及潜在的改进时，Gibson表示CVSS v4.0“即将推出”，并将包括一种方法，供产品开发人员提供补充紧急等级，从而“在他们的实施中更准确地表示漏洞的紧迫性，而不是依赖OSS库提供商的最坏情况评分”。

“只要记住它的缺点，CVSS系统就会有用。例如，CVSS可能会在不考虑重要的背景因素（例如发现漏洞的环境以及潜在的商业或运营影响）的情况下对漏洞进行评分。”

AutoRABIT产品管理副总裁Prashanth Samudrala说： “该系统依赖于当前可用的信息，这意味着它可以根据不完整或不正确的信息做出决策。虽然CVSS系统可能会有帮助，但它应该与其他评估方式一起使用以获得准确的评估。”

原文始发于微信公众号（郑州网络安全）：CVSS系统因未能解决现实世界的影响而受到批评