原创 Xyalbiyes SecLink安全空间

背景

许多企业依赖通用漏洞评分系统（CVSS）来评估漏洞的严重性以进行优先级排序。虽然这些评分提供了漏洞潜在影响的一些参考，但它们没有考虑到现实世界的威胁数据，例如被利用的可能性。随着每天发现的新漏洞，团队没有时间或预算去修复那些不会真正降低风险的漏洞。

什么是漏洞优先级排序？

漏洞优先级排序是根据漏洞对组织可能产生的影响来评估和排名漏洞的过程。其目标是帮助安全团队确定哪些漏洞需要解决、在什么时间范围内解决，或者是否需要修复。这一过程确保了在漏洞被利用之前，最关键的风险得到缓解，是攻击面管理的重要组成部分。在理想情况下，安全团队能够在发现漏洞后立即修复每一个漏洞，但这既不可能也不高效。研究表明，大多数团队每月只能修复大约10-15%的未解决漏洞，这就是为什么有效的优先级排序如此重要。

正确进行漏洞优先级排序可以确保组织能够最佳利用其资源。为什么这很重要？因为企业安全难以负担无效投入，而风险管理就是确保预算用在刀刃上。

CVSS在漏洞优先级排序中的局限性

通常来讲组织优先级排序漏洞的最常见方法之一是使用CVSS评分。

CVSS评分是由一些在时间和用户环境中恒定的因素决定的，例如漏洞被利用的难易程度和技术手段以及成功利用的后果。这些因素被量化并组合生成一个0到10之间的最终评分——评分越高，严重性越高。

CVSS评分提供了一个基线和标准化的严重性评估方式，有时这是合规所必需的。然而，它也有一些局限性，使得仅依赖CVSS不如将其与实时数据源结合考虑更有效。

CVSS评分的主要局限性之一是它们不考虑当前的威胁环境，例如漏洞是否正在被实际利用。这意味着一个高CVSS评分的漏洞不一定是组织面临的最关键问题。例如，CVE-2023-48795的当前CVSS评分为5.9，属于“中等”。但如果考虑其他威胁情报来源，如EPSS，你会发现它在未来30天内被利用的可能性很高（在撰写本文时）。这表明，采取更全面的方法进行漏洞优先级排序非常重要，不仅要考虑CVSS评分，还要考虑实时威胁情报。

通过利用数据改进优先级排序

为了改进漏洞优先级排序，组织应突破CVSS评分，考虑其他因素，例如在野识别到的利用活动。其中一个有价值的来源是由FIRST开发的EPSS模型。

什么是EPSS？

EPSS是一个模型，提供漏洞在未来30天内在野被利用的日均概率。该模型生成一个0到1（0到100%）之间的评分，评分越高，利用的概率越高。

该模型通过从各种来源收集大量漏洞信息来工作，例如国家漏洞数据库（NVD）、CISA KEV和Exploit-DB，以及利用活动的证据。通过使用机器学习，它训练其模型以识别这些数据点之间的模式，从而预测未来的利用可能性。

通过以下工具可以在线计算EPSS：(https://theowni.github.io/EPSS-Calculator)

CVSS vs EPSS

那么，EPSS评分究竟如何帮助改进漏洞优先级排序？

下图展示了一个场景，其中优先修复CVSS评分为7或更高的漏洞。蓝色圆圈代表2023年10月1日记录的所有这些CVE。红色部分表示在接下来的30天内被利用的所有CVE。

如图可见，在野外被利用的漏洞数量仅占CVSS评分为7或更高的漏洞的一小部分。

让我们将其与基于EPSS阈值设置为10%的场景进行比较。

下图中蓝色圆圈的大小明显不同，表示需要优先处理的漏洞数量。这给出了每种优先级排序策略所需工作量的一个概念。使用10%的EPSS阈值，所需的工作量显著减少，因为需要优先处理的漏洞大大减少，从而减少了所需的时间和资源。效率也显著提高，因为组织可以专注于如果不首先解决将产生最大影响的漏洞。

通过在优先级排序漏洞时考虑EPSS，组织可以更好地将其修复工作与实际威胁环境对齐。例如，如果EPSS表明某个漏洞的利用概率很高，而其CVSS评分相对较低，安全团队可能会考虑优先处理该漏洞，而不是那些CVSS评分较高但利用可能性较低的漏洞。

结论

企业在漏洞管理中应突破传统的 CVSS 评分，结合 EPSS 等实时威胁情报，以精准评估漏洞风险。通过优先修复高风险漏洞，企业可以更高效地降低安全威胁，提升整体防御能力。