摩根大通（JPMorganChase）的网络安全专家认为，网络安全行业可能因对CVSS评分过于依赖而误解了漏洞的严重程度，从而影响了修复工作的进展。

在本周四的黑帽欧洲大会上，代表们接到了一个通知：当前用于评估软件与硬件漏洞严重程度的全行业标准方法需要进行调整，因为这种方法可能会带来潜在误导性的评估结果。

通用漏洞评分系统（CVSS）通过综合多种指标来评估漏洞的严重程度。然而，摩根大通的网络安全专家在黑帽会议上的演讲中提出，该系统未能准确反映与漏洞相关的实际风险，这导致组织会依据不完整的数据决定修复工作的优先级。

举例来说，CVSS评分并未考虑具体的使用环境或攻击者是否已经实现了在野漏洞利用。摩根大通指出：“CVSS的影响指标对机密性、完整性和可用性给予同等重视，这忽视了组织的特殊风险等级以及漏洞可能带来的实际影响。”

在2023年，平均每日的漏洞披露数量达到了80起，这一数字相较去年呈现出了约20%的增长。其中，约有18%的漏洞被评定为严重级别，其CVSS 3.0评分为9分或超过9分。

摩根大通的分析显示，约有10%的安全漏洞可能未被充分重视。例如，Citrix NetScaler中的DDoS攻击漏洞CVE-2020-8187在疫情期间披露时，评级仅为7.5分，但这一漏洞的严重程度“足以让组织陷入停顿”。

研究人员指出，在制定CVSS评分的过程中，对隐私问题的考虑不够充分。他们认为，采用通用的安全漏洞评分机制可能无法准确反映出每一起CVE事件中涉及的隐私风险。

例如摩根大通的专家提到，Zoom的一个信息泄露漏洞CVE-2019–13450被评为中等等级，即该漏洞允许在不进行用户交互的情况下激活网络摄像头，存在侵犯隐私、安全风险以及可能引发法律和声誉问题的潜在后果。

他们认为，对依赖关系的考虑不足是CVSS分数的另一个主要缺陷，影响了至少11%的CVE（已公开漏洞）优先级的确定。

成功利用安全漏洞往往需要特定的设置或依赖于其他软件的漏洞。配置和访问控制是关键因素，它们显著影响攻击者利用漏洞的能力。研究人员指出，尽管用户权限可能影响违规行为的严重性和潜在影响，但它们在CVSS分数计算中是没有得到充分体现的因素之一。

即将推出的CVSS 4.0框架将引入更为丰富的影响指标、更精细的时间指标以及新增的辅助指标，以提高评估的准确性。然而，正如摩根大通的安全研究员所指出的，该框架在处理隐私问题及与高级持续威胁（APT）相关的关联方面仍存在不足。

摩根大通已经制定了一套框架，旨在解决APT和可利用性的权重问题以及依赖关系的问题。这家金融服务巨头已经设计了一个概念模型，并鼓励其他安全社区成员参与审查和进一步完善这一框架。

在接受CSO采访时，摩根大通的安全架构师Syed Islam表示，只有那些在安全成熟度方面达到一定水平的企业——比如拥有对业务运营至关重要的技术和应用程序的详细清单——才能从采用漏洞评估方法中获得显著收益。

🎉 大家期盼很久的#数字安全交流群来了！快来加入我们的粉丝群吧！

🎁 多种报告，产业趋势、技术趋势

这里汇聚了行业内的精英，共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利，只为回馈最忠实的您！

👉 扫码立即加入，精彩不容错过！

😄嘻嘻，我们群里见！