择需修复，带入资产业务价值维度判定漏洞修复优先级

发布时间：2021-11-10 15:59 所属栏目：53 来源：互联网

导读：在过去的10年里，每年新增的漏洞数量都在增长，丝毫未见衰减的趋势。网络安全行业权威的CVE漏洞库报告显示，目前累计已披露的漏洞数量已经达到了15万之多。在可预见的未来5-10年内，IT和安全部门不得不面临的一个现实是：漏洞数量多且带来的风险将会长期存在

在过去的10年里，每年新增的漏洞数量都在增长，丝毫未见衰减的趋势。网络安全行业权威的CVE漏洞库报告显示，目前累计已披露的漏洞数量已经达到了15万之多。在可预见的未来5-10年内，IT和安全部门不得不面临的一个现实是：漏洞数量多且带来的风险将会长期存在，无法将巨大的资源投入到漏洞修复里来，需要以“择需”的视角引入漏洞的评判标准。

那么，在有限的安全资源投入情况下，判定漏洞修复的优先级就变成了一个需要慎重考虑的问题。我们如何识别哪些漏洞需要优先修复? 究竟需要从哪些维度，以什么计量单位来计算漏洞的修复优先级?

安全行业权威的漏洞优先级评估框架：CVSS

安全行业内通用的做法是参考或者直接使用漏洞的CVSS分值，通过CVSS分值来确定漏洞修复的优先级。在CVSS 3.0版本中，漏洞的CVSS值取决于三个重要的维度：

•基本属性(Base)

• 时间(Temporal)

• 环境(Environmental)

通过综合计算这三个属性值，最后得出最终分数。在这三个属性中，基本属性(Base)通常由漏洞的可利用性和后果严重程度来决定，不会随时间或者外界因素而变化。时间(Temporal)属性通常会增加漏洞的暴露范围和潜在可利用性。而环境(Environmental)则根据漏洞所处的资产环境进行判定。

（编辑：ASP站长网）