工业控制CVSS通用漏洞评分系统的局限

工业行业依靠数十年的先进技术,同时也非常关注安全性、生产率、可靠性和财务可行性。CVSS是否能作为修复ICS漏洞的指南呢?如何才能使其在OT主导的领域中用于网络安全?目前尚不存在用于漏洞评分的更强大的标准指标的情况下,看看同时管理IT和OT系统时CVSS评分系统的优缺点。

CVSS明确的好处是其定义漏洞词汇、术语和评分。而评分是为数不多且全球通用折实践之一。一方面,应该庆幸的是,在讨论漏洞时,可以据此在基本层面上以同一种语言进行交谈,而不论其区域如何。常见的较佳实践状态是组织和合格的专业人员应就任何已报告的漏洞评分的严重性和适用性提供指导。另一方面,CVSS提供需要缓解的现有风险的指标。无论是否有可能对任何提到的漏洞(CVE)进行补救,其存在都表明了不应忽略、固定/修补,通过补偿性控制减轻风险,以及至少在注册服务商中进行管理/记录的风险。

局限性1:CVSS强调的是漏洞的技术严重性。人们似乎想知道的是,漏洞或漏洞给他们带来的风险,即漏洞被利后产生的影响,或他们应对漏洞的速度。一般而言,严重性仅应作为漏洞响应优先级的一部分。人们可能还会考虑利用漏洞的可能性,或者是否可以公开利用漏洞。漏洞利用代码成熟度向量(以时间度量)试图解决漏洞利用的可能性,但默认值假设漏洞利用广泛,这是不现实的。如果是这样,那么要么CVSS需要更改,要么社区需要一个新系统。

局限性2:CVSS分数不考虑漏洞的存在时间,也不考虑漏洞在漏洞利用链中的使用,包括环境因素。CVSS分数由三个度量标准组组成:基本,时间和环境。大多数已发布的CVSS分数仅报告基本指标,该指标描述了随时间变化的漏洞特征。时间组包括漏洞利用代码的成熟度和独立于特定环境的可用补救措施。只能使用对易受攻击的系统所在的环境的了解来评估环境指标。为发现的漏洞创建CVSS的研究人员通常不考虑环境得分或将其标记为“零”,因为他(她)对每个单独的环境都不熟悉。为了考虑环境评分,每个受影响组织中的安全分析师都需要评估其环境并修正评分。

局限性3:CVSS的三个度量标准组没有考虑基于资产业务价值构成的风险,也从未考虑过。CVSS是严重等级,不是风险评分。环境分数可以通过考虑本地缓解因素和配置详细信息来修改基本分数。如果利用了此漏洞,它还可以调整对资产的机密性,完整性和可用性(CIA)的影响。但是,它仍然是衡量严重性的标准,并且没有考虑暴露资产对组织的价值,这是关键的风险因素。

局限性4:尽管CVSS发挥了作用,但它不应成为确定漏洞修复优先级的唯一因素。需要更客观衡量标准的两个因素是漏洞利用的潜力和资产的关键性。使用CVSS对漏洞的响应进行优先级排序时,可能会看到这样的结果,CVSS得分为10的漏洞升至优先级列表的顶部,即使它们可能影响的资产只会造成很小的损失。如果它们受到损害,则会对业务产生影响。高分数也归因于漏洞,即使当时犯罪分子没有在野外利用漏洞。同时,CVSS分数为5的漏洞在优先级列表中排名较低,即使它们可以暴露高价值的资产并且正在被犯罪分子当作武器。结果,先是修复了得分为10的漏洞,使犯罪分子有充裕的时间利用得分仅为5的更有害的漏洞。

修补问题过去通常由供应商及其批准此修补程序的能力来决定。如今,即使解决方案已经存在并且可以在许多关键环境中使用,从而在很大程度上解决了修补OT主机的技术难题。但是,ICS漏洞报告持续增加,如何对ICS漏洞管理活动进行分类和优先级排序?CVSS系统显然是无能为力的。

来源:网络