为什么你需要停止使用CVSS脆弱性优先级

大多数网络安全团队依靠普通危险得分系统(CVSS)优先考虑他们的漏洞修复工作。但是,他们没有意识到CVSS是过时的,无效的方法导致他们浪费大部分宝贵的时间几乎没有风险的漏洞。这是要做什么。

在过去的20年里,安全专家进行了扫描他们的商业网络找到漏洞遍布他们的IT基础设施。扫描已经在找到这些vulns相当有效。,但问题是他们发现的漏洞比他们可以处理,新vulns发现比这更快可以纠正它们。因为他们知道他们将永远不能解决所有问题,球队最终不得不优先考虑这vulns先纠正。

CVSS没有你

最常见的方法用于优先补救措施是采用普通危险得分系统(CVSS),一个行业标准来评估网络安全漏洞的严重性。CVSS分配一个严重性评级0和10之间,十是最严重的。分数是基于如何轻松地可以利用该漏洞和水平的影响如果成功利用发生。

这都是基于这一事实CVSS从未真正用于优先级。相反,它是简单的开发给每个vuln的严重性。但是,vulns组织面临越来越多,他们需要优先考虑。和,因为(那时)没有,他们关注CVSS为至少他们可以使用的东西。但是,因为它从未以这种方式使用,这个模型并不为此特别有效,并迅速瓦解。

理论与实际的风险

使用CVSS的问题优先考虑补救的努力源于这一事实CVSS基础分数通常是分配在两周内的漏洞被发现,几乎从来没有重新审视后,初步评估,因此局限于理论的风险漏洞可能潜在的介绍,而非理解景观的实际威胁。

因此,根据站得住脚的研究,56%的所有的漏洞都得分高(7.0 - -8.9)的CVSS分数或关键(9.0 - -10.0)CVSS分数,不管他们是否可能被利用。和,因为超过75%的所有漏洞与7分或以上从未对他们发表了一个利用,安全团队使用CVSS优先考虑他们的努力是在浪费大部分时间追逐错误的问题。

CVSS分数并不能反映当前的威胁环境

也,因为CVSS基础分数是静态的,分数仍然是完全相同的多年来,不管景观变化的威胁。这意味着如果一个漏洞最初分配基本得分为6.0分,即使90天后成功利用在野外,甚至变成一个丰富地利用漏洞导致数十亿美元的数据漏出,CVSS分数将保持在最初的6.0分。

相反,漏洞得到CVSS分数低团队将被忽略,他们只是看着那些CVSS分数7以上,可能离开危险的漏洞在其环境。事实上,根据站得住脚的研究,有那么多漏洞利用代码可用CVSS的基础分数4和6之间有7分及以上CVSS基地——然而,根据政策,那些使用CVSS 7 +策略会忽视这些lower-scored vulns,因此缺少许多最重要的漏洞,对其业务构成最大的风险。考虑上面给出的例子的数以十亿美元计的数据漏出。自漏洞被分配一个CVSS基础得分为6.0分,很少组织将曾经甚至看着脆弱性评估自己,允许自己被网络攻击,我们只知道破坏后回想起来,就完成了。

CVSS创造一种虚假的安全感

底线是,CVSS的行业标准如此之久,许多安全专家认为这是最好的,如果不是,优先考虑他们的漏洞修复工作。但是,考虑到许多CVSS的失败,很容易看到CVSS是过时的,无效的方法。

一个更好的办法:基于风险的脆弱性管理的必要性

有效、安全团队需要理解上下文中的漏洞的业务风险,然后使用这些数据来优化他们的补救工作。通过基于风险的脆弱性管理方法、安全团队可以专注于最重要的漏洞和资产,所以他们可以解决组织的真正的商业风险,而不是在浪费宝贵的时间在漏洞被利用的可能性很低。真正理解完整的上下文的脆弱性,因此做出最好的决策,安全团队需要以下安全相关数据:

• 许多漏洞的基本特征,包括vuln的年龄,其潜在的危害,在一定程度上的可利用的和我们看到的频率的威胁
• 评估当前和预测未来的攻击者活动
• 威胁,利用来自多个来源的情报
• 评估组织受影响的资产是多么重要

当然,通过这些数据不能通过解析一个人,甚至一个人类团队——所以自动化和分析其相关性使用机器学习算法是绝对必要的。不仅是机器学习更准确,但在几秒钟内,它可以有效地交付脆弱性优先级评级(冲程体积)每一个组织的漏洞基于每个对业务风险。

采取一种以风险为基础的脆弱性管理方法是一个更有效的解决方案,因为它使安全团队专注于最重要的,所以他们可以对风险影响最大用最少的努力。

了解更多关于如何基于风险的脆弱性管理可以帮你把补救的努力集中在最重要的漏洞和资产,访问://www.yyueer.com/solutions/risk-based-vulnerability-management