文章目录
- 什么是CVSS?
- CVSS 漏洞等级分类
- 历史版本的 CVSS 存在哪些问题?
- CVSS 4.0
- 改进的“命名法”
- 改进的“基本指标”
- 考虑“OT/IOT”
- 新增的“其他指标”
- CVSS 4.0存在的问题
- Reference:
什么是CVSS?
在信息安全评估领域,CVSS为我们提供了一种通用的脆弱性(漏洞)评估标准;
CVSS 漏洞等级分类
历史版本的 CVSS 存在哪些问题?
1、高危漏洞太多
2、有些真正危险的漏洞反而没有被有效评估
3、仅靠单一分值去评估漏洞严重程度,比较模糊
最大的问题即——风险评估分值和实际的漏洞威胁水平不相匹配;
CVSS 4.0
CVSS 4.0基于更细粒度化的评估指标做出了改进,一大亮点是考虑了IOT等工控物联网络的适用性;
改进的“命名法”
改进的“基本指标”
考虑“OT/IOT”
由于攻击者利用漏洞进行攻击时,可能会挖掘到漏洞之间的关联性,这种关联性攻击可能会对物联设备和工控设备造成更严重的DDOS攻击和MAD攻击,如电力物联网中的攻击类型:
医疗物联网漏洞 CVSS 4.0 评估案例:
新增的“其他指标”
CVSS 4.0存在的问题
可以像基于指标的风险评估方法中,主客观赋权、变异系数法结合的思想,综合考虑 VPR(漏洞优先级-Vulnerability Priority Rating)和 CVSS 的评估情况。总之,好的评估方法在选取风险评估指标时,需要考虑指标可量化和全面性为前提,同时兼顾其适用性,以充分识别系统的风险,从而有效利用最小的资源修复风险。
Reference:
[1] Tenable官方视频账号_漏洞评分新标准——CVSS4介绍以及在Tenable产品中的应用
[2] 严康,陆艺丹,覃芳璐,等.配电网用户侧异构电力物联设备网络风险量化评估[J].电力系统保护与控制,2023,51(11):64-76.DOI:10.19783/j.cnki.pspc.221139.
[3] 【THM】Vulnerabilities 101(漏洞基础)-学习