当您的资产被检测出存在多个漏洞时,您可能无法确认应该优先修复那个漏洞。针对此场景,云安全中心提供的漏洞脆弱性评分系统能评估修复漏洞的优先顺序,帮助您做出明智的漏洞修复优先级决策。本文为您介绍云安全中心的漏洞脆弱性评分系统。

背景信息

通用漏洞评分系统(Common Vulnerability Scoring System,简称CVSS)在捕捉漏洞的范围和影响方面成效显著,该系统不仅能够评估某个漏洞被利用的可能性,还能很好地解释该漏洞一旦被利用会有什么后果。然而,在实际的漏洞攻防场景中,CVSS无法为漏洞修复优先级的评估提供足够的粒度来准确判断某个漏洞是否存在被利用的风险。

据统计,在所有通用漏洞披露中,大约有60%的漏洞被CVSS评为高危或者严重漏洞,而实际上最有可能被利用的漏洞占比不足3%。举例来说,当某个漏洞的描述中包含Adobe或arbitrary code execution等关键字时,CVSS评分就会较高(通常在8~10分),而大部分场景下,这类漏洞被利用的可能性极低,甚至无需修复。

针对上述情况,阿里云在CVSS的基础上,结合实际攻防场景下漏洞严重性级别开发了阿里云漏洞脆弱性评分系统。

阿里云漏洞脆弱性评分系统

阿里云漏洞脆弱性评分系统在使用CVSS确定漏洞修复优先级和严重性的基础上,根据云上实际攻防场景下漏洞严重性级别(严重、高、中和低),结合互联网实际披露的漏洞可利用程序状态,以及态势感知入侵检测数据模型中的黑客利用漏洞的成熟度对漏洞进行评级,帮助企业提高资产高可利用风险漏洞的补救效率和以及补救措施的有效性。
说明 漏洞的严重性级别由四个因素决定:
  • 技术影响
  • 利用成熟度(PoC、EXP、蠕虫或病毒武器化)
  • 风险威胁(服务器权限失陷与否)
  • 受影响数量级(互联网受影响IP量级决定漏洞被黑客关注程度)
漏洞评分

漏洞修复紧急度得分计算模型

漏洞修复的紧急度得分是一个动态变化的数据。当漏洞被披露时,阿里云漏洞脆弱性评分系统会根据漏洞本身固有特性所可能造成的影响给该漏洞一个基本评分,即阿里云漏洞脆弱性评分。随着时间的推移,通过软件新版本的更新对漏洞进行修复,存在漏洞的系统越来越少,漏洞的威胁也越来越小,漏洞修复紧急度得分也应该随之降低。另外漏洞修复紧急度得分还与资产的部署环境、资产的重要性有关。

综合以上影响漏洞修复紧急度得分的因素,阿里云漏洞修复紧急度得分计算模型如下:

漏洞修复紧急度得分=阿里云漏洞脆弱性评分*时间因子*实际环境因子*资产重要性因子

计算模型中的各参数的说明如下:
参数 参数项解释 附加说明
阿里云漏洞脆弱性评分 基于阿里云漏洞脆弱性评分系统指标。 阿里云漏洞脆弱性评分系统指标,用来评测漏洞的严重程度。
时间因子 综合了漏洞缓解措施受部署的时间延迟和漏洞利用方法的普及等因素后,形成的一条动态变化的时间曲线。取值范围为0~1。 在漏洞公开的前三天,由于曝光率的增加,该漏洞被利用的机率会急剧增加,时间因子将从0增加并达到短暂的峰值(小于1),随后急剧下降。随着时间的推移,对漏洞成熟的利用手段将越来越多,漏洞实际利用难度在下降,时间因子将在100天之内逐渐增加并趋近于1。
实际环境因子 您服务器的实际环境。云安全中心对该漏洞利用所需的条件和您服务器的状态进行综合考虑,得出一个环境风险因子。 实际环境因子对判断漏洞风险非常重要。

当前纳入参考的环境因素有:

  • 您的服务器已与公网连接:
    • 如果漏洞属于一个可以远程利用的漏洞,则环境因子取值为1.5。
    • 如果漏洞属于一个可利用的漏洞,则环境因子取值为1.2。
    • 如果漏洞属于本地利用,则环境因子取值为1。
    • 对某些需要云上难以复现的环境来利用的漏洞,通过环境因子大幅降权,云安全中心根据您服务器的实际情况动态调整权重。
  • 您的服务器只连接了内网,未连接公网:
    • 如果漏洞属于一个可以远程利用的漏洞,则通过环境因子大幅降权,云安全中心根据您服务器的实际情况动态调整权重。
    • 如果漏洞属于一个可利用的漏洞,则环境因子为1.2。
    • 如果漏洞属于本地利用,则环境因子为1。
    • 对某些需要云上难以复现的环境来利用的漏洞,通过环境因子大幅降权,云安全中心根据您服务器的实际情况动态调整权重。
资产重要性因子 当服务器数量很多时,系统为不同的服务器资产赋予不同使用场景下的重要性分值,并把该分值纳入漏洞修复紧急度得分的计算之中,为您有序修复漏洞提供有价值的参考。 资产重要性因子默认值为1。您可以在资产中心页面设置资产重要性为重要资产一般资产测试资产。以下是不同类型资产对应的资产重要因子:
  • 重要资产:1.5
  • 一般资产:1
  • 测试资产:0.5

漏洞修复优先级

您可根据漏洞修复紧急度得分按照漏洞修复的优先级顺序修复漏洞。

漏洞修复紧急度得分与修复优先级对照表如下:
优先级 描述 修复紧急度得分 修复建议
该评级是针对未经身份验证的远程攻击者可以轻松利用并导致系统受损(任意代码执行)而无需用户交互的漏洞。此类漏洞通常为蠕虫、勒索软件等利用的漏洞。 13.5~15分 该漏洞需尽快修复。
该评级适用于潜在可能危及资源的机密性、完整性或可用性的缺陷。此类漏洞通常为暂无法真实可利用,但官方或互联网上披露的评级较高漏洞,建议持续关注。 7.1~13.4分 该漏洞可延后修复。
该评级适用于能被成功利用可能性极低或者成功利用后无实际风险的漏洞。此类漏洞通常是程序源代码中的BUG缺陷,以及对合规场景和业务性能有影响的漏洞。 7分以下 该漏洞暂可不修复。
说明
  • 由于网络抖动等原因导致云安全中心无法获取该漏洞的环境因子时,漏洞修复建议会展示为暂可不修复。
  • 应急漏洞和Web-CMS漏洞均为阿里云安全工程师确认后的高危漏洞,建议您尽快修复这两类漏洞。

相关文档

漏洞扫描周期说明

基线和漏洞有什么区别?

我有台服务器在资产中心无法开启漏洞检测怎么办?