Black Hat Europe 2024：为什么 CVSS 评分 7.5 在您的组织中可能是“完美”的 10

数字安全

Black Hat Europe 2024：为什么 CVSS 评分 7.5 在您的组织中可能是“完美”的 10

总体漏洞评分并不能说明全部情况——漏洞的公开严重性评级与其对您的公司造成的特定风险之间的关系比看起来更复杂

2024 年 12 月 13 日 • ，3 分钟阅读

2024 年 12 月 13 日 • ， 3 分钟阅读

向网络安全团队提及漏洞和补丁管理，他们都会同样沮丧地疲惫不堪。CVE 数据库继续以相当快的速度增长，太多已知漏洞都是从零日漏洞开始的。当摩根大通两位勤奋的网络安全专家 Ankur Sand 和 Syed Islam 登上 Black Hat Europe 的舞台，发表题为“CVSS 欺骗：我们如何在漏洞严重性方面被误导”的演讲时，会议室挤满了人。

CVE 数据库 零日漏洞 CVSS 欺骗：我们如何在漏洞严重性方面被误导

演讲者分析了通用漏洞评分系统 (CVSS) 评分，以强调如何可能减少漏洞和修补的痛点。（请注意，虽然他们的分析侧重于方法论的第 3 版，而不是当前的第 4 版，但他们确实提到，从高层次来看，他们期望得到类似的结论。）

他们涵盖了六个需要进一步澄清的领域，以帮助团队就修补的紧迫性做出明智的决定。我不会在这篇博文中重复所有六个，但有几个很突出。

CVSS 评分背后的隐藏风险

Log4j 网络保险公司的作用 对公司环境的深入了解

关于 CVSS 等标准的讨论表明，这些框架跟上不断发展的安全形势有多么重要。 摩根大通团队的演讲阐明了一些关键问题，并为对话增添了巨大的价值，因此我为他们精彩的演讲鼓掌。