在使用了多个厂家的漏洞扫描工具后,发现针对同一版本应用扫描结果和评分也可能存在明显差异。好奇之下,研究了相关漏洞评分标准。
中国国家标准化管理委员会发布的 GB/T 30279 - 2020《信息安全技术 网络安全漏洞分类分级指南》,全文22页,自 2021 年 6 月 1 日正式实施。
该标准的漏洞分级过程主要涵盖指标赋值、指标分级和分级计算三个步骤,每个环节都包含对应细致考量。
漏洞分级过程
-
指标赋值:对根据具体漏洞对每个漏洞分级指标(如攻击复杂度、权限需求等)进行人工赋值:
-
指标分级:根据指标赋值结果分别对被利用性、影响程度和环境因素等三个指标类进行分级将赋值结果归类为不同等级(如高、中、低),便于统一理解;
-
分级计算:根据指标分级计算产生技术分级或综合分级的结果,技术分级结果由被利用性和影响程度两个指标类计算产生,综合分级由被利用性、影响程度和环境因素三个指标类计算产生。
也就是说首先需要对被利用性和影响程度进行赋值以确定漏洞的技术分级值,然后结合环境因素得出最终的综合分级。
具体文档可访问国家标准全文公开系统(https://openstd.samr.gov.cn)免费下载。
二、国际标准:CVSS 4.0
CVSS(Common Vulnerability Scoring System)作为由美国 FIRST(事件响应和安全团队论坛)维护的开放标准,在国际上被广泛用于评估漏洞的严重性,当前版本为 CVSS 4.0。
CVSS 由基本 Base、威胁 Threat、环境 Environment 和补充 Supplemental(可选)四个指标组构成,每个指标组又包含一系列具体指标。
指标组详解
-
Base(基本指标):衡量漏洞固有特征,不受时间或环境影响,如攻击向量(AV)、攻击复杂度(AC)、权限需求(PR)等。
-
Threat(威胁指标):反映漏洞在现实中的可利用性,如利用代码成熟度(E)、漏洞发现率(RL)等。
-
Environmental(环境指标):根据具体部署环境调整评分,如保密性、完整性和可用性要求(CR、IR、AR)等。
-
Supplemental(补充指标):描述漏洞其他属性,不参与评分计算。
相关具体文档可访问官网在线阅读或下载(https://www.first.org)。
自动化评分
访问在线计算器来进行评分(https://www.first.org/cvss/calculator/4-0)
三、对比分析
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
四、厂商评分差异猜测
评分版本差异:CVSS 等国际标准迭代、国内标准的变更,且厂商自有标准权重各异,致使同一漏洞风险等级判定不同。
厂商技术标准判定差异:各厂商对于漏洞的技术判断(如高危”漏洞的评分阈值有不同的设定 等)差异,造成判定结果分化。
误漏报率影响:扫描阈值设置差异导致误漏报率不同,误报虚高评分,漏报使评分失真也导致厂商评级不一致。
对于厂商之间评分差异的具体原因,如果有了解的朋友,欢迎在评论区留言解惑
参考链接
[1]https://www.first.org/cvss/v4-0/specification-document
[2]https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=458BACCE700CA8E0B728CFB5F762DE7A
-End-
如果觉得我的分享有用
[点赞+分享+关注]
原文始发于微信公众号(网络个人修炼):漏洞扫描结果差异背后的评分标准揭秘:国内外主流体系对比
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论