新的研究强调了现有CVSS评分系统的弱点,现有指标被认为是“过度宣传”某些漏洞的原因。所谓的“过度膨胀”评级可能会耗尽网络安全团队的有限时间,他们可能不会专注于最有可能影响其组织的漏洞,而是关注被认为是全面关键的问题。
安全工具供应商JFrog进行的一项分析涉及访问流行的通用漏洞评分系统(CVSS),这是一个用于评估安全问题严重性的开放行业标准框架。该系统由非营利性事件响应和安全团队论坛(FIRST) 管理,国家漏洞数据库(NVD)为已确认的漏洞提供CVSS评分。
JFrog的分析侧重于访问开源软件中安全漏洞的影响,得出的结论是,公共CVSS影响指标可能过度简化了漏洞带来的风险,因为它缺乏上下文等因素。
根据报告(PDF),“对DevOps和DevSecOps团队影响最大的开源安全漏洞分析”,公共严重性评级与JFrog对2022年前50名CVE的内部评估之间存在“差异”。
JFrog的安全研究人员表示,在“大多数”情况下,该公司自己的CVE(常见漏洞和暴露)严重性评估低于NVD中指定的评级——“这意味着这些漏洞通常被夸大了”。
例如,X.509证书验证中的缓冲区溢出CVE-2022-3602(CVSS 7.5) 引起了严重关注 – 直到该漏洞的技术细节发布,这表明对现实世界的影响很小,据称研究人员。
总的来说,排名前50的CVE中有64%的JFrog严重性评级较低,而90%的评级较低或相同。
JFrog表示,许多NVD安全评级是“不值得的”,因为它们并不像报道的那样容易被利用。此外,许多分析的漏洞需要复杂的配置环境或特定条件才能成功攻击。
网络安全公司提出的另一个批评是,在分配CVE攻击复杂性指标时可能缺乏上下文。例如,考虑潜在易受攻击的软件的部署方式、网络环境、软件的使用方式,或者易受攻击的API是否最终会解析不受信任的数据,都应该进行分析。结果是严重性等级可能设置得太高或太低。
JFrog还观察到,2022年影响企业的10个最普遍的漏洞往往具有较低的严重性评级,因此被企业IT团队和开源项目维护人员视为较低优先级——因此补救工作要么被延迟,要么(更糟)完全无视。
如果一个错误被认为太小而不必费心,开发人员可能不会创建补丁,JFrog 说这只会随着时间的推移增加受影响系统的数量。相反,如果CVSS评级很高但现实世界的影响被认为是微不足道的,则威胁级别可能会被误导。
JFrog安全研究高级主管Shachar Menashe在接受采访时表示,最好的解决方案是更新CVSS标准以包含可提供更多上下文的字段,例如默认配置中的可利用性以及是否存在上下文依赖的攻击向量。
梅纳什补充说:“因为每个人都已经在使用CVSS,所以这是阻力最小的途径。CVSS v4.0已经开发了很长时间,但仍然没有具体的可用日期。最重要的是,NVD需要对CNA提交的CVSS分数更加开放(CNA提交的CVSS多次被忽略)。还有一个新的比较方案——EPSS ,但我认为它的可行性还没有被证明,而且它的实施也很不透明,所以我们只能等待以后通过实证结果来判断。”
许多网络安全专家承认,现有的CVSS系统是有限的,而经验可以填补漏洞评估过程中的空白。JFrog进行的定量研究支持许多信息安全专业人士的“直觉”,即当前的漏洞评分系统需要改造。
当被问及 JFrog 的批评时,FIRST 执行董事克里斯吉布森表示,一般来说,“评分提供商提供'合理的最坏情况'基本分数,并依靠消费者来减轻(降低)最终分数”。
Gibson 表示,临时威胁信息、资产关键性、补偿控制(例如防火墙过滤器)和其他环境评分“旨在将评分降低到更合适、更适用的水平。
“第三方,例如 JFrog,可以通过提供威胁情报(时间评分)来帮助消费者,允许使用完整的 CVSS 评分来更好地跟踪补丁优先级和技术风险。”
当被问及潜在的改进时,Gibson表示CVSS v4.0“即将推出”,并将包括一种方法,供产品开发人员提供补充紧急等级,从而“在他们的实施中更准确地表示漏洞的紧迫性,而不是依赖OSS库提供商的最坏情况评分”。
“只要记住它的缺点,CVSS系统就会有用。例如,CVSS可能会在不考虑重要的背景因素(例如发现漏洞的环境以及潜在的商业或运营影响)的情况下对漏洞进行评分。”
AutoRABIT产品管理副总裁Prashanth Samudrala说: “该系统依赖于当前可用的信息,这意味着它可以根据不完整或不正确的信息做出决策。虽然CVSS系统可能会有帮助,但它应该与其他评估方式一起使用以获得准确的评估。”
评论已关闭。