prioritizing-vulnerabilities-with-cvss-scoring

使用 CVSS 评分确定漏洞优先级

概述

通用漏洞评分系统（CVSS）是由 FIRST（事件响应和安全团队论坛）维护的行业标准框架，用于评估漏洞严重性。CVSS v4.0（2023 年 11 月发布）引入了更精细的指标以实现更准确的评分。本技能涵盖计算 CVSS 分数、解读向量字符串，以及将 CVSS 与 EPSS 和 CISA KEV 等上下文因素结合用于有效的漏洞优先级排序。

前置条件

• 了解常见漏洞类型（缓冲区溢出、注入、XSS 等）
• 熟悉网络概念（攻击向量、协议）
• 访问 NVD（国家漏洞数据库）进行 CVE 查询
• 需要优先排序的漏洞扫描结果

核心概念

CVSS v4.0 指标组

1. 基础指标（固有严重性）

表示漏洞的固有特征：

可利用性指标：

• 攻击向量（AV）：网络（N）、相邻（A）、本地（L）、物理（P）
• 攻击复杂性（AC）：低（L）、高（H）
• 攻击要求（AT）：无（N）、存在（P）- v4.0 新增
• 所需权限（PR）：无（N）、低（L）、高（H）
• 用户交互（UI）：无（N）、被动（P）、主动（A）- v4.0 扩展

影响指标（受影响系统）：

• 机密性（VC）：无（N）、低（L）、高（H）
• 完整性（VI）：无（N）、低（L）、高（H）
• 可用性（VA）：无（N）、低（L）、高（H）

影响指标（后续系统）：

• 机密性（SC）：无（N）、低（L）、高（H）
• 完整性（SI）：无（N）、低（L）、高（H）
• 可用性（SA）：无（N）、低（L）、高（H）

2. 威胁指标（动态上下文）

• 利用成熟度（E）：已被攻击（A）、概念验证（P）、未报告（U）

3. 环境指标（组织特定）

基础指标的修改版本，反映本地部署上下文，以及：

• 机密性要求（CR）：高（H）、中（M）、低（L）
• 完整性要求（IR）：高（H）、中（M）、低（L）
• 可用性要求（AR）：高（H）、中（M）、低（L）

4. 补充指标（参考信息）

• 安全性（S）：存在（P）、可忽略（X）
• 可自动化（AU）：是（Y）、否（N）
• 恢复性（R）：自动（A）、用户（U）、不可恢复（I）
• 价值密度（V）：分散（D）、集中（C）
• 漏洞响应工作量（RE）：低（L）、中（M）、高（H）
• 提供商紧迫性（U）：红、琥珀、绿、透明

CVSS v4.0 严重性评级

分数范围	严重性
0.0	无
0.1 - 3.9	低
4.0 - 6.9	中
7.0 - 8.9	高
9.0 - 10.0	严重

CVSS v4.0 向量字符串格式

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

此示例表示一个网络可利用漏洞，无需权限、无需用户交互、无攻击要求，对受影响系统的机密性、完整性和可用性具有高影响。

工作流程

步骤 1：评估基础指标

对每个漏洞进行评估：

示例：CVE-2024-3094（XZ Utils 后门）

攻击向量：        网络（N）     - 可通过网络利用
攻击复杂性：      高（H）       - 需要特定条件
攻击要求：        存在（P）     - 需要特定构建/配置
所需权限：        无（N）       - 无需认证
用户交互：        无（N）       - 无需受害者操作

受影响系统影响：
  机密性：        高（H）       - 完全访问 SSH 密钥
  完整性：        高（H）       - 任意代码执行
  可用性：        高（H）       - 完全系统入侵

后续系统影响：
  机密性：        高（H）       - 可能横向移动
  完整性：        高（H）       - 全网络入侵
  可用性：        无（N）       - 无下游可用性影响

向量：CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:N

步骤 2：应用威胁情报上下文

使用实际威胁数据丰富 CVSS：

利用成熟度：      已被攻击（A）  - 野外主动利用
EPSS 评分：       0.94           - 30 天内被利用的概率为 94%
CISA KEV：        已列入           - 联邦机构强制修复

步骤 3：计算环境评分

根据组织上下文调整：

机密性要求：      高（H）       - 处理 PII/财务数据
完整性要求：      高（H）       - 关键业务流程
可用性要求：      中（M）       - 具有 DR/故障转移能力

修改后的攻击向量：网络（N）    - 面向互联网部署

步骤 4：多因素优先级矩阵

将 CVSS 与其他优先级因素结合：

因素	权重	来源
CVSS 基础评分	25%	NVD/扫描器
EPSS 评分	25%	FIRST EPSS API
资产重要性	20%	资产清单/CMDB
CISA KEV 列入	15%	CISA 目录
网络暴露	15%	网络分段数据

步骤 5：定义修复 SLA

优先级	CVSS 范围	EPSS	资产层级	SLA
P1 - 紧急	9.0-10.0	>0.5	一级	24-48 小时
P2 - 严重	7.0-8.9	>0.3	一至二级	7 天
P3 - 高	7.0-8.9	<0.3	二至三级	14 天
P4 - 中	4.0-6.9	任意	任意	30 天
P5 - 低	0.1-3.9	任意	任意	90 天

最佳实践

1. 切勿仅依赖 CVSS 基础评分进行优先级排序
2. 始终纳入威胁情报（EPSS、KEV、漏洞利用数据库）
3. 在 CMDB 中维护准确的资产重要性评级
4. 针对特定部署上下文调整环境指标
5. 使用 CVSS v4.0 向量字符串在团队间精确沟通
6. 记录评分依据以便审计追踪和一致性
7. 当新威胁情报可用时重新评估评分
8. 培训修复团队解读 CVSS 指标和向量字符串

常见陷阱

• 将 CVSS 基础评分视为唯一优先级因素
• 忽略反映组织风险的环境指标
• 不在利用成熟度变化时更新威胁指标
• 混淆 CVSS 严重性与实际组织风险
• 使用过时的 CVSS v2.0 评分而非 v3.1/v4.0
• 过度依赖扫描器提供的评分而不验证

相关技能

• prioritizing-patches-with-exploit-prediction-scoring
• implementing-risk-based-vulnerability-management
• implementing-vulnerability-remediation-sla