什么是通用漏洞评分系统 (CVSS)？

通用漏洞评分系统 (CVSS) 是一种框架，广泛应用于软件漏洞的分类和评级。

通过此开放框架，组织可以计算出通用漏洞评分系统 (CVSS) 分数，这个数字分数用于表示漏洞严重程度。影响 CVSS 分数的漏洞特征以称为 CVSS 矢量字符串的文本链表示。

自 2005 年以来，CVSS 已先后推出多个版本。最新版本 CVSS v4.0 于 2022 年发布。非营利组织 FIRST.org, Inc. （又名“事件响应与安全团队论坛”）负责管理此框架。

CVSS 是漏洞管理的重要工具，漏洞管理是指持续发现、确定优先级和解决组织 IT 基础架构和软件中的安全漏洞。识别和解决错误和网络安全漏洞，例如防火墙配置错误和未修补的错误，对于确保 IT 基础架构和软件的全面功能至关重要。

此类解决措施包括：

• 修复：确保漏洞不再被利用。
  
• 缓解：增加利用漏洞的难度，同时减轻利用漏洞造成的潜在影响。
• 接受：如果漏洞不太可能遭到利用或造成的损害很小，则保留漏洞。

鉴于当今 IT 系统的复杂性及其大量的漏洞和网络威胁，确定首先要处理和解决的问题对 IT 管理人员来说可能具有挑战性。

这正是 CVSS 的价值所在：它为 IT 经理提供了评估漏洞严重性的系统方法，以便其做出决策，对受影响的系统进行优先级排序并制定漏洞解决计划。¹

FIRST.org 表示，CVSS 评分可以纳入风险评估，但 CVSS 评估本身不应取代综合风险评估。CVSS 用户指南建议，综合评估应包括 CVSS 范围之外的因素。²

CVSS 最初是受美国国家基础设施咨询委员会 (NIAC) 于 2003 年委托实施的一个研究项目。当时，软件漏洞评估领域处于割裂状态：计算机安全供应商与非营利组织采用不同的流程和指标，导致多种独特且互不兼容的评分系统并存，其中多为私有体系。³这种不协调的局面使各类组织的安全团队难以开展合作。⁴

NIAC 研究人员之所以创建 CVSS，是为了规范漏洞评估。他们将其设计为一个开放系统，可以针对不同的 IT 系统和环境进行定制和采用。⁵

CVSS v4.0 由 4 个指标组构成。⁶

• 基础版
• 威胁
• 环境
• 补充

这些指标组代表软件漏洞的不同特征和特性。在 CVSS v4.0 框架下，这些组可以描述如下：

基本指标表示漏洞的内在特性，这些特性随时间推移在用户环境中保持不变。基本指标由 2 组指标组成：“可利用性”指标和“影响”指标。

可利用性指标表明漏洞遭到成功利用的难易程度。可利用性指标的示例包括：

• 衡量攻击者利用漏洞所需的用户交互量
• 攻击者是否可以本地或远程访问系统（“攻击媒介”）
• 攻击者需要什么级别的权限才能成功（"所需权限）
• 实施攻击是否需要特定条件或高级知识（“攻击复杂性”）

影响指标表示成功利用漏洞的结果、对易受攻击系统（如软件应用程序或操作系统）的影响以及对其他系统的下游影响。影响指标的示例包括：

• 衡量机密性丧失的指标，例如访问受限信息
• 完整性丧失，例如攻击者修改系统数据
• 可用性影响，指攻击是否会降低系统性能或拒绝合法用户访问系统

威胁指标表示随时间变化的漏洞特征。漏洞利用成熟度是此类别中的主要指标，用于衡量特定漏洞遭受攻击的可能性。

漏洞利用代码的可用性、攻击技术水平及实际攻击案例共同决定漏洞利用成熟度指标的赋值。此类值包括：

• “已攻击”（表示已报告此漏洞受到攻击）
• “概念验证”（表示漏洞利用代码可用，但尚无已知攻击）
• “未报告”（表示既无已知漏洞利用概念验证代码，也无实际攻击尝试）

当没有可靠的威胁情报来确定利用成熟度时，则使用默认值“未定义”。

环境指标组代表用户环境特有的漏洞特征。与基础指标组一样，环境指标组也包括保密性、完整性和可用性，每项指标都有一个值，反映了脆弱资产在组织中的重要性。这与基础指标的内在关注点形成鲜明对比。

此外，通过环境指标组，分析师可根据特定环境状况，使用修正后的基础指标覆盖各类原始基础指标。

考虑这样一种情况：应用程序的默认配置需要访问身份验证，但应用程序所在的环境不需要管理员身份验证。在这种情况下，应用程序的“所需权限”漏洞的原始基值为“高”，这意味着需要高级别权限才能进行访问。但是，修改后的“所需权限”值将是“无”，因为攻击者理论上可以通过承担管理功能来利用漏洞。

补充指标组提供有关漏洞外在特征的附加信息，重点关注技术严重性之外的问题。补充指标的示例包括：

• “可自动化”（攻击者是否可以自动执行攻击步骤以达到多个目标）
• “安全性”（人类因漏洞被利用而受伤的可能性）
• “恢复力”（系统在遭受攻击后的恢复能力）

CVSS 版本因其包含的指标而有所不同。例如，补充指标组是相对较新的 CVSS 新增内容。早期版本的 CVSS（CVSS v1、CVSS v2、CVSS v3 和 CVSS v3.1）不包含这组指标。

但是，旧版 CVSS 确实包含其他指标，例如“报告置信度”和“修复级别”，这些指标隶属于名为“时效指标”的指标组。CVSS v4.0 的“威胁”指标类别取代了旧版“时效”指标组。

CVSS v4.0 也被认为具有更精细的基础指标，有助于更全面地了解漏洞。

不同类型的 CVSS 评分反映了评估漏洞时考虑的不同指标组：

• CVSS-B 指 CVSS 基本分数
• CVSS-BE 指的是基础评分和环境评分
• CVSS-BT 指 CVSS 基本分数和威胁分数
• CVSS-BTE 指 CVSS 基本分数、威胁分数和环境分数⁷

所有分数的范围都是从 0 到 10，其中 0 为最低严重程度评分，10 为最高严重程度评分。补充指标不会影响 CVSS 分数，但可能包含在 CVSS v4.0 矢量字符串中。

不同实体可能会优先考虑不同的指标组和分数。例如，软件供应商通常会指定产品的基本分数，而消费者组织可能会依靠“威胁”和“环境”指标来表明漏洞对其环境的潜在影响。⁸

CVSS 矢量字符串是漏洞的一组 CVSS 指标的机器可读文本表示。矢量字符串中的不同缩写与特定的指标值相对应，有助于将该漏洞的 CVSS 分数与上下文联系起来。⁹

例如，如果漏洞的“攻击向量”值为 "L"（代表“本地”），则其向量字符串中会包含 "AV:L"。如果该漏洞要求攻击者具备高级别的权限才能成功利用漏洞，则“所需权限”值为 "H"（表示“高”），其向量字符串包括 "PR:H"。

在向量字符串中，每个值由正斜杠 (“/”) 分隔，并且必须按照 CVSS 框架中指定的排序列出。基础指标组、威胁指标组和环境指标组的不同数值可组合成 1,500 万个不同的向量字符串。¹⁰

CVSS 有助于评估 AI 应用程序中经常出现的特定网络安全漏洞，包括模型中毒、拒绝服务或信息泄露。不过，FIRST.org 指出，CVSS 对涉及偏见、道德或法律问题的 AI 相关漏洞可能帮助有限。此类漏洞与推理、模型反演和提示注入有关。¹¹

CVSS 是一个评估漏洞的框架，而 CVE（通用漏洞和风险的缩写）是一个公开披露网络安全漏洞词汇表。向 CVE 计划中包含的漏洞分配唯一标识符，称为 CVE ID。该计划由非营利性 MITRE 公司维护，并由美国国土安全部赞助。

CVE 计划编目中的漏洞严重性可以使用 CVSS 框架进行评估。然而，当涉及 CVE 发布的漏洞时，CVE 组织或许会选择放弃自行计算，转而使用美国国家漏洞数据库 (NVD) 提供的 CVSS 评分。NVD 是美国国家标准与技术研究院 (NIST) 漏洞管理数据的标准存储库。NVD 拥有一个可搜索的在线数据库，其中包含通过 CVE 识别的漏洞及其补充信息，包括 CVSS 基础评分和向量字符串。

组织可以使用在线计算器来确定几类 CVSS 分数，包括基于旧版 CVSS 的评分。CVSS 计算器可通过 CVSS 和 NVD 网站获取。CVSS 文档包括一项建议，即组织使用自动化来扫描威胁，为评估中的威胁和环境指标部分提供信息。¹²

组织还可以利用包含 CVSS 评估的漏洞管理工具和平台。领先的漏洞评估软件解决方案会参考合规基准、供应商安全指南和行业研究等多个关键因素中的 CVSS 分数。此类解决方案还可能包括 AI 驱动的功能，例如自动实时数据发现，可以帮助改善组织的事件响应和隐私管理。