給漏洞打分介紹一下CVSS與Tripwire的差異

明白漏洞評分可能是一項艱鉅的任務，但是一個好的開始是首先了解風險，並能夠區分風險和漏洞。多年來，人們都在交替使用這兩種方法。

漏洞是指由於系統功能，配置或結構的某些方面的問題，使這些資源成爲了潛在被濫用，利用或拒絕服務的目標。

風險則是威脅成爲一個特定漏洞的可能性。

有很多方法可用於對漏洞進行排序，決定它們的風險等級。通用漏洞評分系統（Common Vulnerability Scoring System, CVSS）是其中最廣泛使用的行業標準。該系統現在有三個版本：CVSSv1, CVSSv2 和CVSSv3。CVSSv1發佈於2005年，CVSSv2於2007年，而當前版本CVSSv3則發佈於2015年。

爲了更好地理解CVSS，我們需要知道評分系統是如何演變的。

圖1: CVSSv1 三個維度

CVSSv1旨在對信息系統漏洞進行排序，爲終端用戶提供一個綜合評分，代表該漏洞的嚴重程度和風險。CVSS採用了模塊化評分體系，包含三個部分：基本維度（Base Metric Group），時間維度（Temporal Metric Group）和環境維度（Environmental Metric Group）。由這三個部分分別計算所得的分數，組成了一個0到10分的漏洞總體得分，10分代表最嚴重。

圖1.1 CVSSv1 基本維度

基本維度奠定了漏洞得分的基礎。基本維度包含訪問類型（Access Vector），完整性影響（Integrity Impact），影響偏差（Impact Bias），訪問複雜性（Access Complexity），保密性影響（Confidentiality Impact），可用性影響（Availability Impact）和身份驗證要求（Authentication）。這些核心特性不會隨時間而改變，即使添加了不同的目標環境，它們也不會改變。

圖1.2 CVSSv1 時間維度

時間維度包含了可利用性（Exploitability），修復級別（Remediation Level）和報告水平（Report Confidence）這些動態因素，會隨着時間推移而影響一個漏洞的緊迫程度。

圖1.3 CVSSv1 環境維度

環境維度決定了被發現的漏洞對組織機構和其利益相關者可能產生什麼樣的影響。這一維度根據漏洞潛在附帶損害和目標分佈來評估其風險。

顧名思義，基本維度是漏洞得分的基礎，時間維度和環境維度在此基礎上起到提高或降低分數的作用。CVSS SIG（Special Interest Group, 特別利益小組）後來指出CVSS存在嚴重的問題。最大的問題來自部分類別，零分和自變量。這些問題最終導致了不穩定或模棱兩可的風險得分。隨後2007年發佈的CVSS2考慮了CVSS1存在的缺陷，並試圖改進它們。

CVSSv3則對CVSSv2存在的缺陷進行了改進。例如在CVSSv2中，漏洞評分是基於該漏洞對主平臺的總體影響，而在CVSSv3中，漏洞評分是基於對特定組件的影響。另一個常見的對CVSS的不滿是，人們認爲CVSS沒有考慮漏洞暴露給攻擊者的時間。這個時間因素影響了一個漏洞被攻擊者利用進行攻擊的可能性。

安全公司Tripwire的評分系統則根據漏洞的年齡對其進行評分。

此外CVSSv2和v3的評分系統因爲受限於兩個或三個“無”，低”或“高”選項，缺乏精確度。這意味着最終出現的分數總是那麼幾個。這使得許多關於風險優先級的問題沒有得到解答，因爲幾乎總是會有許多得分相同的漏洞出現。

Tripwire通過一個漏洞公開發布的天數（t），風險類別（r）和能成功執行攻擊的能力（s）來計算該漏洞的風險。風險類型（r）的得分爲0到6分，0意味着“暴露”，而6代表了一個漏洞具有“遠程訪問權限”。

風險類別通過階乘來加大其權重。最後攻擊能力（s）的評分爲1到6分，1分代表“自動利用”，6分則代表“沒有已知的利用能力”。攻擊能力的得分將進行平方，已獲得更精確的分數。

和CVSS相比，Tripwire漏洞評分能夠更準確地表示漏洞的風險。