CVSS 4.0 已经到来，但补丁优先级仍然是一个难题

即将发布的通用漏洞评分系统 (CVSS) 4.0 版承诺修复安全漏洞严重性指标的许多问题。 但漏洞专家表示，优先考虑补丁或衡量可利用性仍然是一个棘手的问题。

事件响应和安全团队论坛 (FIRST) 上周在其年度会议上发布了 CVSS 下一版本的预览。 版本 4 将取消模糊的“时间”指标，代之以更具描述性的“威胁”指标，并将在基本指标计算中添加其他因素。 据 FIRST 称，这些变化提高了 CVSS 的整体可用性，并补充说，公司和组织可以尝试对当前漏洞进行评级的指标，并在发布常规版本之前提供反馈。

据介绍，CVSS 4 为公司在计算基本指标时添加了两个新因素：攻击要求 (AT) 和用户交互 (UI)，用于衡量攻击的复杂性以及攻击是否需要用户交互 新规范的描述。 此外，CVSS 的一个组成部分是环境评分，该评分是特定于公司的，用于衡量漏洞对其 IT 环境可能产生的影响。

“他的最新版本标志着向前迈出了重要一步，增加了对团队至关重要的功能，这些功能对于以使用威胁情报和环境指标来准确评分为核心的团队至关重要，”FIRST 在关于 CVSS 4 预览版的声明中表示.

补丁优先级划分需要的不仅仅是 CVSS

更好的通用漏洞评分系统可以为公司提供更好的方法来决定应该修复哪些漏洞 获得修补优先权，但专家表示，它不应被视为万能药。

在确定可利用性（组织用来确定补丁优先级的最大指标之一）时，公司拥有多种工具。 他们可以使用 CVSS、美国网络安全和基础设施安全局 (CISA) 的已知被利用漏洞 (KEV) 列表、 利用预测评分系统 (EPSS)，或其他专有系统，例如 联盟漏洞评分系统。 然而，全球政策和研究智库兰德公司的高级政策研究员萨沙·罗马诺斯基 (Sasha Romanosky) 表示，任何方法都必须与组织的能力和资源相匹配。

CVSS 和 EPSS 的贡献者 Romanosky 表示：“问题不在于 [哪种方法]，而在于一个人使用哪种策略来为其组织生成最佳（即优先排序）列表。” “我们逐渐认识到，CVSS 本身并不能很好地预测威胁（即剥削），而且这对于我们（CVSS 的创造者）来说是一粒难以下咽的药丸，但这就是现实。”

例如，趋势科技零日计划 (ZDI) 威胁意识主管达斯汀·柴尔兹 (Dustin Childs) 表示，了解属于组织攻击面区域的系统至关重要。

“我一直建议的一件事是，在资产发现过程中要坚持不懈，并了解哪些系统对您的业务至关重要，”他说。 “这将有助于确定优先顺序。”

CVSS 时序、复杂性挑战

新的 CVSS 在提供可操作的优先级评估方面仍然面临障碍。 例如，主动保护网络保险公司 Coalition 的高级安全研究员斯科特·沃尔什 (Scott Walsh) 表示，还需要快速生成可利用性指标，以便组织尽快获得指导，从而做出优先于修补的决策。

“当宣布新的 CVE 时，风险管理者和防御者可能会转向 CVSS 或 EPSS 来获取严重性和可利用性评分，但这些行业标准系统通常需要时间来对新的 CVE 进行评分——从一周到一个月不等，”他说。 “在此期间，组织并不总是知道哪些漏洞最有可能对其个人数字生态系统和技术产生负面影响。”

此外，最新的 CVSS 解读起来可能很复杂，有近二十个属性用于计算基本指标，这种复杂性可能会阻碍安全团队评估风险的能力。

“这些变量将需要多个业务部门就其影响和要求达成一致，”他说。 “在安全方面，时间至关重要，快速响应可能是成功阻止攻击或成为受害者的区别。 这些变量使得响应新威胁时的漏洞评估过程变得缓慢而繁琐。”

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 汽车/电动汽车， 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 块偏移量。 现代化环境抵消所有权。 访问这里。
• Sumber: https://www.darkreading.com/vulnerabilities-threats/cvss-4-prioritizing-patches-hard-problem