隨著漏洞披露量的持續增長和攻擊復雜性的提升，準確的風險評估對于企業防御和漏洞修復至關重要。在近日舉行的Black Hat歐洲大會上，金融巨頭摩根大通的網絡安全專家發出警告：當前廣泛使用的漏洞嚴重性評估系統——通用漏洞評分系統（CVSS）存在重大缺陷，可能導致安全團隊對漏洞風險誤判，從而延長漏洞的暴露時間，增加組織面臨的風險。

CVSS漏洞評分的誤導性風險

CVSS是一種行業標準方法，通過量化指標評估軟件和硬件漏洞的嚴重性。然而，摩根大通的專家在演講中指出，CVSS在現實風險的反映上存在多重問題，導致企業在修復優先級的排序上可能做出錯誤決策。這些問題具體如下：

缺乏情境因素的考量

CVSS評分未充分考慮漏洞所處的環境。例如，一個漏洞是否已被“野外利用”（actively exploited），或其對具體組織的風險優先級，往往被忽略。摩根大通指出，CVSS對保密性、完整性和可用性這三個維度給予了等權處理，卻未能適應各個組織的獨特需求，也未能充分體現漏洞的真實影響。

10%的漏洞被低估

2023年，全球平均每天披露80個漏洞，同比增幅約20%。其中，約18%的漏洞被評為嚴重（CVSS評分9或以上）。然而，摩根大通的分析表明，大約10%的漏洞可能被低估，未能體現其潛在的破壞性。

研究人員提到，許多被低估的漏洞可能帶來嚴重的安全后果。例如，CVE-2020-8187是Citrix NetScaler中一個分布式拒絕服務（DDoS）漏洞，其CVSS評分僅為7.5。然而，這一漏洞在COVID-19疫情期間暴露時，有可能導致企業業務全面癱瘓。

類似地，Zoom的CVE-2019-13450漏洞（允許未經用戶同意打開攝像頭）被評定為中等風險。然而，該漏洞的實際影響包括隱私侵犯、安全風險，以及法律與聲譽后果，遠超這一評分所反映的風險級別。

依賴關系與權限的忽視

CVSS未充分考慮漏洞的依賴關系及特定配置要求。某些漏洞需要特定的硬件或軟件配置才能被利用，而訪問控制或用戶權限的設定會顯著影響攻擊者的利用能力。例如，攻擊者對系統的實際影響可能因權限設置而大幅變化，但這些因素在CVSS評分中的反映極為有限。

CVSS 4.0：改進與不足

CVSS 4.0框架即將推出，新增了影響指標、時間維度的優化，以及輔助評分指標，以期提高評估的準確性。然而，摩根大通專家指出，4.0版本仍未解決幾個核心問題：

隱私問題的忽視：CVSS評分中的“保密性”指標過于通用，無法準確體現漏洞對隱私的具體影響。

高級持續性威脅（APT）的考量不足：CVSS評分未能充分體現漏洞與APT攻擊之間的關聯性。

依賴關系與可利用性權重不足：攻擊者對漏洞的利用能力與環境配置的關聯未被適當體現。

摩根大通提出改進框架

為了彌補CVSS現有的不足，摩根大通開發了一種新的漏洞評估框架。該框架納入了以下改進要素：

• 權重分配：增加對APT關聯性和漏洞利用難度的權重考量。
• 依賴分析：將漏洞的依賴性和環境條件納入風險評估。
• 隱私影響評估：增強對數據泄露和隱私風險的重視。

這一概念框架已向網絡安全社區公開，摩根大通呼吁其他安全組織共同參與完善，以推動行業標準的改進。

新方法并非萬靈藥

摩根大通首席安全架構師Syed Islam在接受采訪時表示，網絡安全行業亟需一個更科學、更全面的漏洞評估體系，以應對復雜的威脅格局。但是，只有具備一定安全成熟度的組織才能充分受益于這種新的評估方法。例如，這些組織需要建立全面的技術和應用清單，以明確其業務依賴的核心系統和資產。

對于安全能力較弱的組織，Islam建議逐步提高其安全治理水平，從完善資產管理和漏洞響應流程開始。