CVSS4.0發布，能否掀起漏洞管理的一場革命？

FIRST近日推出了業界矚目的新版通用漏洞評分系統(CVSS 4.0)。CVSS對于安全廠商和用戶至關重要，它提供了一種捕獲安全漏洞主要特征的方法，生成反映漏洞技術嚴重性的評分，以便為企業、廠商、政府和公眾提供信息和指導。

企業信息基礎設施中的開放漏洞是當下惡意攻擊（包括勒索軟件）最廣泛利用的“盜火線”。

而CVSS的漏洞嚴重性評級（例如低、中、高危和嚴重）和評分，可以幫助企業正確評估其漏洞管理流程并確定其優先級，并準備防御網絡攻擊。

CVSS的一次重大更新

過去十幾年中，隨著漏洞數量和新興威脅的快速增長，基于CVSS評分的漏洞管理已經暴露出大量問題，越來越多的人開始批評CVSS并不能準確評估漏洞的真實風險，也無法用于確定修復優先級。甚至一些安全研究人員發現社交傳播數據統計（例如twitter曝光率）都能比CVSS更準確地反應漏洞的可利用性。

此外，還普遍存在企業自身漏洞管理效率低下的問題。例如，雖然許多企業和機構定期開展漏洞評估活動，例如每兩周、每月或每季度執行一次掃描，但常規漏洞評估可能需要數月才能完成，最終為攻擊者留下了巨大的漏洞利用敞口。企業亟需開發自動化程序實時管理漏洞和攻擊面，CVSS也面臨巨大的變革壓力。

CVSS4.0正是針對上述漏洞管理痛點的重大更新，該系統允許用戶評估實時威脅和影響，為行業和公眾提供“高保真的漏洞評估”。

CVSS4.0為用戶提供了更細粒度的基本指標，消除了下游評分的模糊性，簡化了威脅指標，并提高了評估特定環境安全要求以及緩解控制的有效性。

此外，CVSS4.0還添加了漏洞評估的幾個補充屬性，包括可自動化、恢復、價值密度、漏洞響應工作量和提供商緊迫性。還增加了對物聯網和工控網絡（OT/ICS/IoT）的適用性，將相關安全指標和評分添加到補充指標組和環境指標組中。

CVSS 4.0之路

隨著威脅的不斷增長，新發布的CVSS 4.0有望成為網絡安全行業的游戲規則改變者。

2005年之前，在確定需要對跨軟件和平臺的漏洞測量進行標準化之前，業界會使用自定義的、不兼容的評級系統來定義嚴重性。CVSS第1版于2005年2月發布，當時由少數先驅開發，旨在全行業范圍內采用，并于當年4月指定FIRST來推動該工具的未來發展，最終成為網絡安全行業的重要工具。

CVSS特別興趣小組(SIG)的十多名FIRST成員在2006年和2007年進行了廣泛合作，通過測試和重新測試數百個實際漏洞來修訂和改進CVSS 1.0版本，并于2007年6月發布了版本2.0。

CVSS3.0版本于2015年進一步開發了該工具，引入了“范圍”的概念，以處理一個軟件組件中存在但僅影響單獨軟件、硬件或網絡組件的漏洞的評分。

2019年6月CVSS3.1版本發布，對3.0版本進行了澄清和改進，但沒有引入新的指標或值，提高了概念的清晰度，提高了標準的整體易用性，并添加了CVSS擴展框架。

最新發布的CVSS4.0版本實現了重大升級，增加了對安全團隊至關重要的功能，使用威脅情報和環境指標來提高評分準確性，標志著CVSS向前邁出了重要的一步。

另一個值得注意的新增功能是命名法。CVSS不僅僅是單一的基本分數，為了進一步強調這一點，4.0版本明確定義了新的評分體系術語：

CVSS-B：CVSS基本分數

CVSS-BT：CVSS基礎+威脅評分

CVSS-BE：CVSS基礎+環境分數

CVSS-BTE：CVSS基礎+威脅+環境評分

全球公測CVSS 4.0

隨著網絡安全威脅在全球范圍內持續迅猛增長，全球性的協調和參與對于確保互聯網的整體安全性變得至關重要。

CVSS 4.0能否改變網絡安全運營的游戲規則，掀起一場漏洞管理的革命？這個問題依然需要在實踐中檢驗。據悉，在CVSS4.0正式發布之前，全球900強企業中的很多用戶已經開始了測試工作。

FIRST首席執行官Chris Gibson評論道：“CVSS系統在過去18年中發展迅速，每個版本都建立在我們防御網絡犯罪的能力之上。我為CVSS-SIG開發4.0版本所付出的辛勤工作和奉獻精神感到無比自豪。這是及時的，因為世界各地的安全威脅正顯著增加。”