通用漏洞評分系統（CVSS）是什麼？

CVSS 是什麼？

CVSS（Common Vulnerability Scoring System）是一種被廣泛使用的漏洞評分標準，用於衡量資訊安全漏洞的嚴重程度。它是由美國國家基礎建設諮詢委員會（National Infrastructure Advisory Council, NIAC）所發起，並已成為資安領域中標準的評估工具。CVSS 提供了一個統一的評估方法，幫助資安專業人員更全面地理解軟體漏洞的衝擊程度，從而更好地制定應對策略。

CVSS 評分是基於漏洞的技術細節和相關屬性，如攻擊向量、攻擊複雜性、機密性、完整性和可用性等。這些指標經過權重計算，產生一個基礎評分。此外，CVSS 還考慮了漏洞的時間評分和環境評分，以更好地反映漏洞在特定環境中的風險。

CVSS 的目的是幫助組織有效地應對資訊安全威脅，並幫助資安團隊優化安全資源的配置。它使得組織能夠快速辨識嚴重的漏洞，並優先處理高風險的安全漏洞，從而增強資訊安全防禦和保護資產的能力。

CVSS 的優勢

CVSS 是由資安事件應變及安全小組論壇「Forum of Incident Response and Security Teams (FIRST)」維護的開放框架。這個評分系統提供了一個統一的標準方法，讓各種資安專業人員和組織都能使用相同的標準來評估漏洞的嚴重性。這種標準化的方法有許多優勢，值得我們深入了解。

可快速地辨認高風險漏洞

首先，CVSS 使用 0 到 10 的數值表示漏洞的嚴重性。這樣的數值化表示使評估過程變得直觀且易於理解。例如，一個 CVSS 評分為 8 的漏洞將比一個評分為 3 的漏洞更為嚴重，這使得安全專業人員能夠更快速地辨認高風險漏洞，並採取適當的應對措施。

資安評估更全面和精確

其次，CVSS 採用多維度評分方式，包括基礎評分、時間評分和環境評分。這種多維度的考慮使得評估更全面和精確。基礎評分衡量漏洞本身的嚴重性，時間評分考慮漏洞隨著時間的變化，而環境評分則基於特定環境中的影響程度。這些因素的結合使得評估更貼近實際情況。

標準化確保了評估的一致性

第三，CVSS 提供了範本和指南，幫助安全專業人員進行評估並給出相應的評分。這種標準化的方法確保了評估的一致性，並幫助初學者能夠更快速地掌握評估技巧。同時，CVSS 的指南也有助於專業人員更好地理解和應用這些評分。

開源框架確保持續更新和改進

另外，也因為 CVSS 是一個開放框架，允許全球資安社群參與討論和改進。這種開放性確保了 CVSS 能夠持續更新和改進，以應對日益變化的安全挑戰。這種開源精神也促進了全球資安社群之間的交流和合作。

CVSS 的目的

CVSS 的主要目的是提供一個標準化的漏洞評估框架，使組織能夠：

1.了解漏洞對其資訊系統和應用程式的影響程度。

2.比較不同漏洞之間的嚴重性和優先順序。

3.基於風險等級，優先進行資源分配和修補措施。

基礎度量群 Base Metric Group

前面我們提到 CVSS 的計算方式是由三種群組組成：基本、時間和環境。基本度量群組奠定了 CVSS 的基本分數，該分數的範圍介於 0 到 10 之間，數值越高代表漏洞越嚴重。這個基本分數評估的是不會隨著時間及使用者環境更改的漏洞特徵。基本度量群組考慮的是與漏洞本身相關的特徵，例如攻擊向量、攻擊複雜度、身份驗證要求、機密性影響、完整性影響和可用性影響等等。

時間度量群 Temporal Metric Group

然而，隨著時間的推移和使用者環境的改變，漏洞的影響可能會發生變化。為此，CVSS 還引入了時間度量群和環境度量群。時間度量群組考慮的是漏洞可能會隨著時間而變化的特性，例如漏洞的修補程度、已知的漏洞程度和漏洞的可利用程度等等。這些特性可以幫助更準確地評估漏洞在特定時間點的風險。

環境度量群 Environmental Metric Group

而環境度量群組則考慮了漏洞在特定使用者環境下的影響。這些因素可以包括組織特有的需求和限制，例如資源重要性、完整性要求和可用性要求等等。透過考慮這些環境因素，評估的結果更貼近實際情況，幫助組織更好地了解漏洞對其系統和數據的潛在影響。

CVSS 3.0 計算機

如果您對 CVSS 3.0 評分方式感興趣，想更深入地了解不同參數的影響，以及排列組合對最終漏洞分數的影響，您可以進入 FIRST 網站上的 CVSS v3.0 計算機 進行實際測試。在這個計算機中，您可以逐一調整不同度量群組的特徵值，觀察分數的變化，進而了解該漏洞在不同情境下的嚴重程度。

透過這個實際試算的過程，您將有機會深入了解 CVSS 3.0 評分的原理，並且更清楚地知道哪些特徵對漏洞風險評估有較大的影響。這對於資訊安全專業人員和公司來說是非常有價值的，因為這能幫助我們更有效地評估和應對軟體漏洞的風險，並做出相應的安全決策。

通過這樣的實際測試，您將更深入地了解 CVSS 3.0 和其評分方式，這有助於您提高對軟體漏洞嚴重性評估的理解，並加強您在安全領域中的專業知識。

CVSS 4.0 版本

CVSS 4.0 版也在今年 6 月 8 日正式開放給公眾試用且評論。這個新版本試圖解決來自於 2019 年 6 月發佈的 CVSS第 3.1 版所面臨的一系列挑戰和批評。FIRST 則會在 2023 年 8 月 31 日集結所有回饋，預計在 2023 年 10 月 1 日正式發布 CVSS 4.0 版。