GSS資安電子報0197期【為什麼弱點管理的優先程度超越 CVSS 評分？六大重點搶先看！】

一、評估弱點標準的方法可能還不夠，以下是你可以加強開源安全性並優先修復弱點的方法

     在弱點管理過程中你扮演什麼角色呢？如果是開發人員，你可能經常想著：「我被要求做修復工作真的有必要嗎？」如果是一名資訊安全工程師，同時你的工作是向開發人員提供安全問題列表以進行補救，你可能會思考：「這些是我們的開發人員需要優先解決的最高優先層級問題嗎？」每個人的關鍵問題是：企業組織應該如何決定哪些安全弱點是需要優先解決的？通用弱點評分系統 (CVSS) 是否足以保護企業的程式碼儲存庫？隨著開源社區為 KubeCon 2022 聚集在一起，我們探討了為什麼資訊安全一個重要的話題，以及優先層級評分如何將安全性提升到一個新的水平。

二、網路安全：KubeCon 2022 的熱門話題

     我們期待WhiteSourc在 2022 年 5 月 16 日至 5 月 20 日於巴倫西亞舉行的 KubeCon 上與來自開源和雲端計算領域的代表們會面。KubeCon 一直是分享見解的絕佳論壇並與同行專家合作，我們預計今年的會議也不例外。鑑於近期圍繞 Log4j 和 Spring4Shell 等開源程式碼違規的頭條新聞，我們預計網路安全和弱點管理將引發大量討論。

     這些違規行為顯示出了當弱點為網路犯罪份子提供攻擊和禁用軟體，以及竊取有價值資訊的機會時，企業組織的暴露程度。2021 年，全球網路犯罪（包括針對開源的犯罪）造成的損失總共估計約為 6 兆美元，預計到 2025 年這個數字將達到 10.5 兆美元。隨著開源軟體的使用率增加，攻擊繼續也隨之增長，各種規模的公司都坦承，他們必須投資於弱點管理計劃，以充分保護其基礎軟體設施、應用程式與資料安全。但是識別、分類和緩解弱點的標準方法是否足以讓開發人員和管理層高枕無憂，還是我們需要採取新的方法？

三、CVSS 已經不夠用了

     大多數企業組織基於通用弱點評分系統 (CVSS) 的弱點管理計劃，此評分優先層級記錄在通用弱點和暴露 (CVE) 列表或美國國家弱點資料庫 (NVD) 中。目的是為了能夠更好了解如何將某些弱點的修復工作優先排序於其他弱點前，但是單獨使用弱點評分是不夠的，因為它缺乏每個獨特運作環境所須的背景風險因素。 CVSS 是一種靜態評分系統，其評估中不包括現實世界的風險。 CVSS 分數與其影響的實際環境，以及如何影響它們並無關聯。事實上，相同的 CVE 可能對不同的運作環境產生不同的影響，企業需要評估與每個技術弱點相關的業務風險，其中 CVSS 只是一個參考因素。

     CVSS 作為風險評估工具的有效性受到影響，因為它無法優先考慮對特定組織或環境最危險的弱點。正因為沒有任何企業組織是完全相同的，程式碼儲存庫的嚴重弱點可能對另一個企業組織來說是可以忽略的。此外Docker 容器中的大量弱點給企業帶來了一個特殊的挑戰——如何識別對您的商業業務影響最重要的風險，並了解要優先解決和補救什麼弱點。

四、分析師所說的是弱點管理的未來

     對於希望節省時間、創造更有效的補救作業流程並降低風險狀況的企業而言，基於高低風險的弱點管理應該是未來的一種解決方案，它能為公司提供真正的安全彈性。根據 Gartner 和 Forrester 的說法，基於風險的優先層級將定義未來的弱點管理計劃。

五、為什麼基於高低風險的弱點管理是解決方案

     儘管 CVSS 是評估弱點嚴重性的行業標準，但它並不是最有效的風險管理工具。我們經常看到，在 CVE 列表和NVD 中記錄的 CVE 分數在全面評估特定問題時未能反應準確的 CVSS 評分有些背景環境因素可以幫助我們了解漏洞風險及其對我們系統的影響。 CVSS 分數解決了 CVE 可利用性的理論水平，僅將 60% 的弱點分類為高嚴重性或緊急嚴重性。從這個數字來看，只有 2.5% 的弱點具有可供攻擊者使用的實際弱點。

     你的弱點管理系統需要持續掃描、監控和防範各種攻擊面向，以幫助你了解每項弱點的風險與確定其優先層級，並專注在最重要的防護工作上。此外，它應該根據背景環境因素對結果進行優先層級排序，例如：準確地顯示特定弱點對軟體執行環境的影響。

     基於風險的方法能讓企業組織導入與實施策略與支援的同時專注於業務價值。此外，亦能在任何層級的投資中有效降低風險與加強其靈活性，因為它可以根據需求調整以適應不斷變化的風險，進而使企業能夠應用適當級別的控制來掌握潛在風險的相關領域。

六、解決商業業務與優先層級評分

     企業組織越來越清楚 NVD 的 CVSS 評分本身並不能提供降低風險的有效方法，同時在安全工具於開源、Docker容器和專有程式碼中識別出越來越多的弱點。使用的工具越多，狀況就會變得越複雜，其中包含無窮無盡的混亂資料。這類問題隨著開發人員快速交付的壓力越來越大而加劇。開發人員的資源已達到極限，試圖根據市場動態交付軟體，他們不希望資安流程和弱點掃描妨礙他們的工作。在這種情況下，使用威脅建模（主要是手動且成本高昂的過程）來識別風險並將開發人員集中在相關弱點上變得更加困難且無效。

     然而，可以依據實際業務的影響程度，針對檢測出來的弱點進行優先順序安排規劃。將商業資訊加入任何弱點審查中都會增加辨識和評估弱點的關鍵背景因素，並有助於調整整個軟體交付中的所有相關功能。當使用商業優先層級評分，開發人員將獲得來自檢測的完整資訊，並能夠優先驗證和修復相關的風險弱點。這比 CVE 更進一步。例如，通過商業優先層級評分，您可以判斷特定 CVE 弱點是否安裝於 DMZ 的套件中，以及此套件是否與金融服務或個人資訊相互影響。

     將在 DMZ 中執行並保存靜態資料的程式中與另一個 CVE 弱點或另一個內部使用且未暴露於 Web 的 CVE 弱點進行比較，優先層級在此會變得更加清楚，如今可以在整個企業組織中自動化並達成一致性。優先考慮弱點清晰度，對於在辨識和減輕對組織特別重要的弱點方面，清晰度將會提高且作業效率也會變得更好。

相關解決方案：WhiteSource Open Source 管理及檢測平台