CVSS漏洞评分标准的前世今生

CVSS的起源

CVSS是由FIRST（Forum of Incident Response and Security Teams）制定的一套用于评估安全漏洞严重程度的公开标准。该标准旨在提供一个统一、标准化的方法，帮助不同组织和个人评估漏洞的紧急性和重要性。CVSS的初始版本在网络安全领域得到了广泛应用，并逐渐成为行业公认的漏洞评估标准。

发展历程

CVSS 2.0版本是CVSS的第一个广泛使用的版本。它主要包括基础评价指标和生命周期评价指标两部分。基础评价指标用于评估漏洞本身固有的特征及其可能造成的影响，包括攻击途径（AV）、攻击复杂度（AC）、权限要求（PR）、用户交互（UI）、机密性影响（C）、完整性影响（I）和可用性影响（A）等。生命周期评价指标则关注漏洞随时间变化的情况，如漏洞公开时间、利用代码成熟度和补丁完善水平等。

随着网络安全威胁的日益复杂，CVSS标准也不断进行更新和完善。CVSS 3.0版本在2.0的基础上进行了诸多改进，引入了新的评价维度和更精细的评分方法。CVSS 3.0将评分体系分为基础评分、时间评分和环境评分三个部分，更加全面地评估漏洞的严重性。其中，基础评分反映了漏洞的固有严重性，不受时间和环境因素的影响；时间评分则考虑了漏洞在一段时间内的变化，如漏洞的公开时间、利用代码的成熟度和漏洞修复的可用性等；环境评分则根据漏洞在特定环境中的影响进行评估。

CVSS 3.1是3.0版本的进一步更新，它在细节上进行了更多调整和优化，使评分结果更加准确和可靠。例如，在基础评分中，引入了“作用域”的概念，用于描述漏洞影响范围是否超出漏洞所在组件的预期权限范围。同时，3.1版本还调整了各评价指标的权重和计算公式，以更好地反映漏洞的实际威胁。

CVSS的评分标准基于多个维度综合评估漏洞的严重程度。以下是CVSS 3.1版本中的主要评分标准：

注：出处为https://www.first.org/cvss/v3.1/specification-document

基础评分

基础评分是CVSS评分体系的核心部分，反映了漏洞的固有严重性。它由以下指标组成：

·攻击向量（AV）：描述攻击者利用漏洞所需的技术和资源。

·攻击复杂度（AC）：衡量攻击者成功利用漏洞所需的技能和知识。

·权限要求（PR）：表示攻击者需要获得的目标系统上的权限级别。

·用户交互（UI）：利用漏洞是否需要用户交互。

·作用域（S）：漏洞影响范围是否超出漏洞所在组件的预期权限范围。

·机密性影响（C）：漏洞对系统机密性的影响程度。

·完整性影响（I）：漏洞对系统完整性的影响程度。

·可用性影响（A）：漏洞对系统可用性的影响程度。

时间评分

时间评分反映了漏洞在一段时间内的严重性变化。它由以下指标组成：

·漏洞公开时间：漏洞公开的时间长度。

·漏洞利用代码成熟度：可利用漏洞的代码的成熟度。

·漏洞修复可用性：是否有可用的漏洞修复程序。

环境评分

环境评分反映了漏洞在特定环境中的严重性。它由以下指标组成：

·攻击目标：漏洞影响的目标类型。

·攻击目标的价值：目标的价值或重要性。

·攻击目标的范围：目标的数量或分布。

·攻击者访问权限：攻击者对目标的访问权限。

最新的CVSS 4.0版本于2023年正式发布，距离上一个主要版本CVSS 3.0已经过去了八年。

CVSS 4.0在保留原有评分体系的基础上，进行了多项改进和增强，以提供更细粒度的评估结果和更高的评估准确性。以下是CVSS 4.0评分标准的主要特点：

注：出处为https://www.first.org/cvss/v4.0/specification-document

新的命名方式

CVSS 4.0引入了新的命名方式来区分不同类型的评分结果：

·CVSS-B：仅使用基本指标计算的CVSS值。

·CVSS-BT：基础 + 威胁的组合评分。

·CVSS-BE：基础 + 环境的组合评分。

·CVSS-BTE：基础 + 威胁 + 环境的综合评分。

这种命名方式使得不同评估场景下的评分结果更加清晰明了。

更细粒度的基本指标

CVSS 4.0在基本指标方面进行了多项改进，包括：

新的基本指标：如“攻击要求（AT）”，用于更精确地描述攻击者成功利用漏洞所需的要求。

新的基本指标值：如“用户交互（UI）”被细分为“被动（P）”和“主动（A）”两种类型。

这些改进使得基本评分更加精细和准确。

简化和明确的威胁指标

在威胁指标方面，CVSS 4.0进行了简化和明确：

“时间指标组”被重命名为“威胁指标组”，以更准确地反映其评估内容。

威胁指标得到简化和明确，如“修复级别（RL）”和“报告置信度（RC）”已被停用，而“利用成熟度（E）”则被赋予了更清晰的值。

这些变化有助于减少评估过程中的模糊性和不确定性。

增强的环境指标

环境指标在CVSS 4.0中得到了进一步增强：

评估对脆弱系统（VC、VI、VA）和后续系统（SC、SI、SA）的影响被明确化。

新的补充指标组可传达漏洞的其他外在属性（如安全性、可自动化、恢复、价值密度、漏洞响应工作、提供商紧急度等），这些属性虽然不影响最终的CVSS-BTE分数，但为评估者提供了更多有用的信息。

对OT/ICS/IoT的适用性增强

CVSS 4.0还增强了对操作技术（OT）、工业控制系统（ICS）和物联网（IoT）等特定领域的适用性：

安全指标和值被添加到了补充和环境指标组中，以更好地评估这些领域中的漏洞风险。

其他重要变化

范围（Scope）的退役：

在CVSS3.1中“范围（Scope）”指标在以往版本中可能存在解释上的模糊性和歧义性，不同评分机构在应用该指标时可能产生不同的结论。删除该指标有助于减少这种模糊性，提高评分的一致性和准确性。

CVSS 4.0删除“范围（Scope）”指标是为了整合和提升评分体系的功能、减少评分模糊性并增强对特定领域的适用性。这一变化使得CVSS 4.0成为一个更加完善、准确和灵活的风险评估工具，能够更好地满足当前网络安全形势的需求。

在CVSS 4.0中，“范围（Scope）”指标的功能被整合到了其他指标中，特别是影响度量（Impact Metrics）中。这些影响度量现在更全面地考虑了易受攻击的系统以及后续系统的机密性、完整性和可用性度量，从而更有效地反映了漏洞的实际影响范围。

CVSS 4.0在增强对操作技术（OT）、工业控制系统（IICS）和物联网（IoT）领域的适用性方面做出了努力。删除“范围（Scope）”指标并增加新的补充指标，如可自动化、恢复、价值密度等，有助于更好地评估这些领域中的漏洞风险。

CVSS（通用漏洞评分系统）自其诞生以来，已成为评估软件安全漏洞严重性的重要标准。随着网络安全威胁的不断演变，FIRST（事件响应和安全团队论坛）推出了CVSS 4.0，作为CVSS 3.1的重要升级版，旨在提供更简单、更灵活、更准确的评分方法。CVSS 4.0在多个方面进行了优化，以更好地适应当前的安全环境。

增强的清晰度和简单性：

CVSS 4.0通过引入更清晰的度量指导和定义，减少了评分过程中的主观性。新的版本对“攻击复杂性”和“攻击需求”等概念进行了完善，使得评分过程更加明确和易于理解。此外，一些复杂的度量标准如“范围”被退役，其功能被整合到影响度量中，进一步简化了评分流程。

更大的灵活性和适应性：

CVSS 4.0提供了更详细的度量标准和模块化方法，允许组织根据其独特的需求和环境定制评分系统。这种适应性使得评分结果更加贴近组织的实际情况，提高了风险评估的准确性。同时，新版本还引入了新的严重性得分定义和补充指标组，如“安全”、“自动化”、“恢复”等，为组织提供了更多的评估维度。

改进现实世界风险的表示：

CVSS 4.0更好地封装了与漏洞相关的实际风险，通过考虑其他因素如开发的可能性、成功攻击的潜在后果等，提供了更现实的风险评估。新版本还强调了威胁情报和环境指标在评分中的重要性，使得评分结果更加全面和准确。

增强的上下文相关性：

CVSS 4.0引入了新的组合评分方式，包括基础（CVSS-B）、基础+威胁（CVSS-BT）、基础+环境（CVSS-BE）和基础+威胁+环境（CVSS-BTE），使得评分过程更加注重上下文因素。这种变化有助于组织根据具体的威胁环境和安全要求来定制评分结果，提高了评分的针对性和有效性。总体而言，CVSS 4.0通过更细粒度的基本指标、简化和明确的威胁指标、增强的环境指标以及对特定领域的适用性增强等措施，显著提升了评分准确性。这使得安全专家和系统管理员能够更准确地评估漏洞的严重程度，并据此制定更有效的防护措施。

结束语