CVSS漏洞评分标准对于工控漏洞评级有巨大误导性，新的评分标准急需建立

虽然通用漏洞评分系统（CVSS）对于评估IT系统漏洞很有用处，但如果给工控系统（ICS）漏洞评分则会产生误导作用。评分将会对一些组织机构，特别是那些仅依靠CVSS评分来确定补丁的优先顺序的组织产生负面影响。

CVSS提供了一种提取漏洞主要特征的方法并以此计算一个分数来反映该漏洞的严重性。该分数有助于相关机构评估和优先处理系统中的弱点。评分0.1-3.9表示漏洞危害性低， 4.0-6.9表示漏洞危害性中等， 7.0-8.9表示漏洞危害性高， 9.0-10.0表示漏洞危害性非常严重。

该系统的当前版本CVSSv3允许用户使用诸如攻击向量、攻击复杂性、所需权限、用户交互、范围、机密性、完整性和可用性等因素来计算基本分数，该分数不会随时间和环境而变化。时间分数反映了可能随时间而不是跨环境变化的特征，是基于漏洞利用代码成熟度，补救级别和报告置信度计算的。环境评分表示与特定用户环境相关的分数，是根据受影响资产的重要性计算的，以机密性，完整性和可用性来衡量。

CVSS分数的计算方式是透明的，但供应商和研究人员对分配给漏洞的严重等级持不同意见的情况仍不少见。

Radiflow首席执行官兼创始人Ilan Barda上个月在亚特兰大举行的SecurityWeek ICS网络安全会议上发表演讲时指出，CVSS评分最初是为IT系统开发的，对于工业系统来说往往不准确，这对企业来说可能是个问题。还有一些与SecurityWeek有联系的工业网络安全专家表示同意上述观点。

1、CVSS在工控漏洞评分上的应用

Nozomi Networks的联合创始人兼首席技术官Moreno Carullo认为，虽然CVSS的价值在于标准化了漏洞评分，但它只能作为一种参考。

“你应该依据这个向量来评估出你认为合理的分数，每个因数的权重应基于它在你的环境中的重要性” 。 Carullo说。

Positive Technologies的工业和SCADA安全分析师Paolo Emiliani表示，CVSS评分应该应用于特定的工业流程，以便有效地确定漏洞等级。

卡巴斯基（Kaspersky）实验室ICS CERT小组的漏洞研究负责人Vladimir Dashchenko指出，经典的CVSS对OT环境非常有用，因为它从从IT角度展示了一个漏洞如何“变成一个问题”。他说，“但是，它没有考虑到一个漏洞到对控制流程的影响以及可能造成的cyber-physical影响” 。

“IT和OT之间的差异并没有产生负面影响，而更像是一种无法言说的意义。”Dashchenko解释道。“OT/ICS领域的人总是说’这些IT漏洞在OT环境下的运行方式不同’”，这是事实。我们看到的是对IT和OT领域用户完全不同的潜在影响。对于OT，有时这种影响不仅仅是金钱损失的问题，还可以造成物理损害并影响人们的生活。

Applied Risk的高级ICS安全顾问John Elder认为，由于漏洞利用所需的不同场景，CVSS评分在IT和ICS环境中都会产生误导。不过他表示，在评估漏洞的全部影响时，CVSS评分可能是一个很好的切入点。

Sipke Mellema也是Applied Risk的ICS安全顾问，他同意CVSS评分可能会误导IT和OT的观点。“ICS的主要问题在于它与物理安全密切相关，而CVSS对此评分不精准（你怎么对社会工程性攻击评分呢？），”他告诉SecurityWeek。

Radiflow的首席技术官Yehonatan Kfir认为，环境评分更适合ICS，但在大多数情况下都被忽略了。IT环境中机密性是最重要的，与此不同，工业系统中可用性是最重要的，因为任何对流程的破坏都会产生严重的经济损失和物理损害。

“反对CVSS评分对ICS设备有效性的另一个论点是漏洞可利用性权重，”Kfir告诉SecurityWeek。“目前的权重值是根据网络事件的历史统计数据计算出来的，这些数据主要来自IT网络。 因此，基于这种方法的评分对ICS设备是不准确的，因为没有广泛的历史数据来量化评估漏洞在ICS网络上的“可利用性”权值。

SecurityWeek还与ICS-CERT就CVSS评分的有效性达成了一致意见，该机构所有报告都列出了所披露漏洞的CVSS评分，但其漏洞管理团队尚未对本文观点发表任何评论。

2、误导性CVSS评分案例

毫无疑问，参与发现ICS产品漏洞的有代表性的公司可以提供一些参考，表明尽管一些漏洞的CVSS评分很低，但却对工业环境构成严重威胁。

CyberX的研究副总裁David Atch以CVE-2015-5374为例。臭名昭着的Industroyer/Crashoverride恶意软件利用此漏洞对西门子SIPROTEC继电器进行DoS攻击，但其CVSS评分仅为7.8。“由于SIPROTEC设备在发电环境中发挥着重要作用，因此7.8的得分并不能完全反映出真正的风险”，Atch解释道。

卡巴斯基的Dashchenko指出了CVE-2017-6021，这是施耐德电气EcoStruxure Geo SCADA专家（ClearSCADA）远程SCADA管理软件中的一个DoS漏洞。Dashchenko强调，在IT系统中DoS缺陷通常不会被认为太严重，但如果在ICS中被利用，它们可能会造成严重危害。

Radiflow的Kfir对施耐德电气PowerLogic PM5560电源管理系统中的跨站脚本（XSS）漏洞CVE-2018-7795与施耐德Modicon M221 PLC的DoS漏洞CVE-2018-7789进行了有趣的比较。第一个漏洞的CVSS评分为8.2，而允许攻击者远程重启PLC的DoS漏洞的CVSS评分仅为4.8。但是，如果考虑可用性和完整性，则DoS漏洞的分数会增加到8.1。如果该XSS漏洞也考虑可用性和完整性，其得分降至7.1，Kfir说。

“虽然在没有其他的可选评分体系的情况下比较这两个CVE，似乎CVE-2018-7795更为重要”，Kfir解释道。“然而，当引入额外权重时，显然PLC重启（CVE-2018-7789）比电源管理系统中的XSS漏洞更为重要。”

Applied Risk研究人员指出，当与其他漏洞相结合时，即使一个CVSS评分较低的漏洞也可能会产生重大影响。

“我们最近在设备中发现了多个关键漏洞，这些漏洞将具有较高的CVSS分数（例如，可获取root权限的指令注入漏洞）。这些漏洞需要通过身份验证才能被利用”，Elder解释道。 “但是，同一设备中也存在文件目录遍历漏洞，其CVSS分数较低。利用此漏洞，你可以检索必要的证书以登录设备，从而利用上述分值更高的漏洞。“

3、CVSS评分误导性对企业的影响

根据SecurityWeek所采访的专家的观点，CVSS评分误导性可能会对工业企业产生严重的影响。

“误导性评分使得ICS网络的运营者更难以确定其设备及其物理过程所面临的风险等级”，Kfir说。“今天使用的漏洞评估工具可以发现漏洞，并根据CVSS标准为漏洞评分。仅根据CVSS评分确定漏洞修复的优先级，并不能保证最高风险最高的漏洞优点得到处理”。

CyberX公司的Atch认为，误导性的CVSS评分会对工业企业产生负面影响，“因为用户可能会忽略高风险漏洞，因为他们的CVSS评分较低。例如，他们可能会跳过修复高危漏洞，或者在没有补丁的情况下放弃采诸如连续监控和网络分段等补救措施。”

Elder说，他并没有发现哪个工业企业只根据CVSS评分来确定漏洞修复的优先级。另一方面，研究人员指出，也有许多系统根本没有打任何补丁。

4、改变CVSS以适应ICS或者其他评分系统

一些专家认为，CVSS仍然可以用于ICS漏洞，只要对评分进行适当的调整并且不再作为唯一的参考。调整内容包括关注环境评分，评估漏洞对整个环境的影响，而不仅仅是受影响的软件或设备，以及将CVSS与其他风险评估方法结合使用。

“最佳方法是基于风险的评分，评分应考虑到漏洞的潜在影响以及利用它的难易程度。该设备对ICS环境有多重要？这个漏洞是否可以在和其他漏洞组合利用，从而导致严重的安全或生产问题？”Atch说。

“爱达荷州国家实验室（INL）的专家建议采用基于风险的方法来确定漏洞修复的优先级，使用威胁建模来识别最重要的资产和过程中风险最高的攻击媒介，”他补充说。

其他人认为，工业领域应共同努力开发一种新的评分系统，该系统侧重于对ICS安全至关重要的因素。虽然这个问题经常被讨论，但我们距离实际实施和广泛使用的新系统还有很长的路要走。

Applied Risk公司的Mellema说：“我倾向于在ICS中只使用CIA或AIC，因为它更易于理解”。“对于CVSS和AIC来说，由工业企业指定哪些因素对企业影响更大是非常重要的。研究必须围绕一些问题展开。“我们想知道这些文件的安全性如何”。 “我们想知道位于X的攻击者是否可以做Y”。

“评分系统并不重要”，Mellema补充道。“这一切都取决于与客户的沟通。例如，可破解的Wifi密码对于IT与OT网络隔离差的公司来说意味着世界末日。对于那些Wifi和OT基础设施之间有一千层隔离的公司来说，这将是一个小小的问题”。

原文：https://www.securityweek.com/cvss-scores-often-misleading-ics-vulnerabilities-experts

译者：孙中豪

声明：本文来自工业互联网安全应急响应中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。