通用漏洞评估系统CVSS4.0简介

什么是CVSS？

在信息安全评估领域，CVSS为我们提供了一种通用的脆弱性（漏洞）评估标准;

CVSS 漏洞等级分类

历史版本的 CVSS 存在哪些问题？

1、高危漏洞太多
2、有些真正危险的漏洞反而没有被有效评估
3、仅靠单一分值去评估漏洞严重程度，比较模糊

最大的问题即——风险评估分值和实际的漏洞威胁水平不相匹配；

CVSS 4.0

CVSS 4.0基于更细粒度化的评估指标做出了改进，一大亮点是考虑了IOT等工控物联网络的适用性；

改进的“命名法”

改进的“基本指标”

考虑“OT/IOT”

由于攻击者利用漏洞进行攻击时，可能会挖掘到漏洞之间的关联性，这种关联性攻击可能会对物联设备和工控设备造成更严重的DDOS攻击和MAD攻击，如电力物联网中的攻击类型：

医疗物联网漏洞 CVSS 4.0 评估案例：

新增的“其他指标”

CVSS 4.0存在的问题

可以像基于指标的风险评估方法中，主客观赋权、变异系数法结合的思想，综合考虑 VPR（漏洞优先级-Vulnerability Priority Rating）和 CVSS 的评估情况。总之，好的评估方法在选取风险评估指标时，需要考虑指标可量化和全面性为前提，同时兼顾其适用性，以充分识别系统的风险，从而有效利用最小的资源修复风险。

Reference:

[1] Tenable官方视频账号_漏洞评分新标准——CVSS4介绍以及在Tenable产品中的应用
[2] 严康,陆艺丹,覃芳璐,等.配电网用户侧异构电力物联设备网络风险量化评估[J].电力系统保护与控制,2023,51(11):64-76.DOI:10.19783/j.cnki.pspc.221139.
[3] 【THM】Vulnerabilities 101(漏洞基础)-学习