如何正确看待通用安全漏洞评分系统
发布时间:2022-05-11 09:56:01 所属栏目:安全 来源:互联网
导读:从严格意义上来讲,CVSS评分并不代表具体事件可能发生的概率。它只代表了公司被入侵成功的概率。 CXOWare公司董事长、《衡量与管理信息风险》一书合作者杰克琼斯(Jack Jones)在近期召开的信息安全世界大会上发表了一些有关CVSS的批评言论。 CVSS是很有潜力的
|
从严格意义上来讲,CVSS评分并不代表具体事件可能发生的概率。它只代表了公司被入侵成功的概率。 CXOWare公司董事长、《衡量与管理信息风险》一书合作者杰克·琼斯(Jack Jones)在近期召开的“信息安全世界”大会上发表了一些有关CVSS的批评言论。 CVSS是很有潜力的工具,但人们对它知之甚少。大多数公司使用CVSS的方式都不对。 琼斯并不是CVSS的唯一批评者。有些人认为,CVSS在将安全风险公式化方面做得并不好,而且其评估漏洞风险的过程可能过于复杂。 另一个问题在于,CVSS通常被用于漏洞评分,进而与风险度量模块结合。结果是,这样浪费了资源,公司没办法甄别出最重要的安全问题。 琼斯对CVSS的主要疑虑来源于该系统的加权模式。CVSS的说明文档中并不包括确定权重分配的内在逻辑,因此,用户是在并不理解原理的前提下使用CVSS的。根据琼斯的个人经验,这些权重往往只适用于一小部分特殊情况,而对大多数安全事件没有概括能力。如果考虑到描述上的歧义、限制范围、应用情景,在有些情况下得到的CVSS评分可能完全没有意义。既然用户都在使用这些权重值,开发者应当至少提供一些合适的说明,以让用户在知情状态下决定何时使用这些权值。 设计和实现情况是评价CVSS这样的统计学工具的唯一指标。在近期发售的新书《统计学错了》中,作者写道:即使是在那些最智慧的使用者手里,统计学也经常是错的。科学家们大范围地错误使用统计学,令人吃惊。对于使用CVSS的用户而言,我们应该再次强调此书作者的观点。 CVSS分数计算器允许用户对权重进行自定义设置,以适应用户本公司的环境。不过,大多数公司还是使用标准的CVSS权重,并不会进行手动定制。事实上,每个公司都应当根据自身情况确定权重和分数,而不是使用官方提供的默认值。如果确认权重的工作量过重,可以从定制CVSS环境和时间变量开始进行调整,并把对权重的调整放到之后来做。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号