CVSS4.0发布，能否掀起漏洞管理的一场革命？

FIRST近日推出了业界瞩目的新版通用漏洞评分系统(CVSS 4.0)。CVSS对于安全厂商和用户至关重要，它提供了一种捕获安全漏洞主要特征的方法，生成反映漏洞技术严重性的评分，以便为企业、厂商、政府和公众提供信息和指导。

企业信息基础设施中的开放漏洞是当下恶意攻击（包括勒索软件）最广泛利用的“盗火线”。

而CVSS的漏洞严重性评级（例如低、中、高危和严重）和评分，可以帮助企业正确评估其漏洞管理流程并确定其优先级，并准备防御网络攻击。

CVSS的一次重大更新

过去十几年中，随着漏洞数量和新兴威胁的快速增长，基于CVSS评分的漏洞管理已经暴露出大量问题，越来越多的人开始批评CVSS并不能准确评估漏洞的真实风险，也无法用于确定修复优先级。甚至一些安全研究人员发现社交传播数据统计（例如twitter曝光率）都能比CVSS更准确地反应漏洞的可利用性。

此外，还普遍存在企业自身漏洞管理效率低下的问题。例如，虽然许多企业和机构定期开展漏洞评估活动，例如每两周、每月或每季度执行一次扫描，但常规漏洞评估可能需要数月才能完成，最终为攻击者留下了巨大的漏洞利用敞口。企业亟需开发自动化程序实时管理漏洞和攻击面，CVSS也面临巨大的变革压力。

CVSS4.0正是针对上述漏洞管理痛点的重大更新，该系统允许用户评估实时威胁和影响，为行业和公众提供“高保真的漏洞评估”。

CVSS4.0为用户提供了更细粒度的基本指标，消除了下游评分的模糊性，简化了威胁指标，并提高了评估特定环境安全要求以及缓解控制的有效性。

此外，CVSS4.0还添加了漏洞评估的几个补充属性，包括可自动化、恢复、价值密度、漏洞响应工作量和提供商紧迫性。还增加了对物联网和工控网络（OT/ICS/IoT）的适用性，将相关安全指标和评分添加到补充指标组和环境指标组中。

CVSS 4.0之路

随着威胁的不断增长，新发布的CVSS 4.0有望成为网络安全行业的游戏规则改变者。

2005年之前，在确定需要对跨软件和平台的漏洞测量进行标准化之前，业界会使用自定义的、不兼容的评级系统来定义严重性。CVSS第1版于2005年2月发布，当时由少数先驱开发，旨在全行业范围内采用，并于当年4月指定FIRST来推动该工具的未来发展，最终成为网络安全行业的重要工具。

CVSS特别兴趣小组(SIG)的十多名FIRST成员在2006年和2007年进行了广泛合作，通过测试和重新测试数百个实际漏洞来修订和改进CVSS 1.0版本，并于2007年6月发布了版本2.0。

CVSS3.0版本于2015年进一步开发了该工具，引入了“范围”的概念，以处理一个软件组件中存在但仅影响单独软件、硬件或网络组件的漏洞的评分。

2019年6月CVSS3.1版本发布，对3.0版本进行了澄清和改进，但没有引入新的指标或值，提高了概念的清晰度，提高了标准的整体易用性，并添加了CVSS扩展框架。

最新发布的CVSS4.0版本实现了重大升级，增加了对安全团队至关重要的功能，使用威胁情报和环境指标来提高评分准确性，标志着CVSS向前迈出了重要的一步。

另一个值得注意的新增功能是命名法。CVSS不仅仅是单一的基本分数，为了进一步强调这一点，4.0版本明确定义了新的评分体系术语：

CVSS-B：CVSS基本分数

CVSS-BT：CVSS基础+威胁评分

CVSS-BE：CVSS基础+环境分数

CVSS-BTE：CVSS基础+威胁+环境评分

全球公测CVSS 4.0

随着网络安全威胁在全球范围内持续迅猛增长，全球性的协调和参与对于确保互联网的整体安全性变得至关重要。

CVSS 4.0能否改变网络安全运营的游戏规则，掀起一场漏洞管理的革命？这个问题依然需要在实践中检验。据悉，在CVSS4.0正式发布之前，全球900强企业中的很多用户已经开始了测试工作。

FIRST首席执行官Chris Gibson评论道：“CVSS系统在过去18年中发展迅速，每个版本都建立在我们防御网络犯罪的能力之上。我为CVSS-SIG开发4.0版本所付出的辛勤工作和奉献精神感到无比自豪。这是及时的，因为世界各地的安全威胁正显著增加。”