“我给这个漏洞打了9.8分,但老板问:‘它会影响我们吗?’ 我沉默了。”
—— 某安全工程师的深夜日志
在信息安全(InfoSec)的世界里,CVSS(Common Vulnerability Scoring System,通用漏洞评分系统) 像一把标尺,被广泛用于衡量漏洞的“严重性”。
我们习惯说:“这个CVE是高危(High)”,“那个漏洞有9.8分”。
但很快,我们就会遇到那个灵魂拷问:
“所以呢?我们要不要修?什么时候修?”
这时你会发现:CVSS 给了你分数,却没给你答案。
一、CVSS 的“能力边界”:它到底能做什么?
CVSS 的核心定位是:
评估漏洞的“潜在技术影响(Potential Technical Impact)”,而非“实际业务风险(Actual Business Risk)”。
| CVSS 能评估 | CVSS 不能回答 |
|---|---|
| 攻击向量(Attack Vector, AV) | 这个系统对我们重要吗? |
| 权限要求(Privileges Required, PR) | 漏洞利用后会损失多少钱? |
| 用户交互(User Interaction, UI) | 攻击者真的在利用它吗?(Exploit in the Wild) |
| 机密性/完整性/可用性影响(C/I/A) | 我们的系统是否暴露在公网? |
换句话说:
✅ CVSS 告诉你“这把枪有多强”
❌ 却不告诉你“有没有人拿着它对准你”
二、现实困境:高分≠高风险,低分≠可忽略
案例1:高分漏洞,低实际风险
- CVE-2023-1234:CVSS v3.1 = 9.8(Critical)
- 漏洞类型:远程代码执行(RCE)
- 但:仅影响内网测试环境的一台闲置服务器
- 结论:无需紧急修复
案例2:低分漏洞,高业务影响
- CVE-2023-5678:CVSS v3.1 = 5.3(Medium)
- 漏洞类型:信息泄露(Information Disclosure)
- 但:影响客户数据API网关,且已有野外利用(Exploit Available)
- 结论:必须立即修复
💡 这就是“CVSS Paradox(CVSS悖论)”:
分数越高,越容易被误判为“必须优先处理”,却忽略了资产重要性(Asset Criticality) 和威胁情报(Threat Intelligence)。
备注:本文中的CVE都是假的,仅为案例。
三、为什么组织仍依赖 CVSS?
尽管有局限,CVSS 仍是行业基石,原因在于:
标准化(Standardization)
NVD(National Vulnerability Database)、厂商、扫描工具统一使用 CVSS,便于沟通。自动化(Automation)
SIEM、SOAR、Vulnerability Management Platform(VMP)可基于 CVSS 分数自动分级告警。合规要求(Compliance)
PCI DSS、ISO 27001 等标准要求对漏洞进行“严重性分级”,CVSS 是最现成的工具。
四、走出“唯分数论”:我们需要“上下文补丁”
CVSS 是拼图的第一块,但必须与其他“上下文”拼接,才能看清全貌:
[CVSS Base Score]
+ [EPSS(Exploit Prediction Scoring System)] → 判断被利用概率
+ [Asset Exposure] → 是否在公网?是否为关键系统?
+ [Threat Intelligence] → 是否有APT组织在利用?
+ [Patch Availability] → 是否有修复方案?
= True Risk Prioritization(真实风险优先级)
✅ 行业趋势:
越来越多企业采用 “CVSS + EPSS” 双轨模型,避免“修了最不重要的高分漏洞”。
五、我与CVSS的“协作”模式
我不再问:“这个漏洞多严重?”
而是问:
CVSS告诉我什么?
→ 技术严重性:是否远程?是否无需认证?EPSS告诉我什么?
→ 被利用概率:当前是否有活跃利用?我的资产告诉我什么?
→ 业务影响:这是数据库还是测试机?我的威胁情报告诉我什么?
→ 外部环境:是否有攻击团伙在扫描此类漏洞?
只有当这四个问题都回答了,我才能说:
“这个漏洞,我们必须在48小时内修复。”
六、写给未来的我们
CVSS 不是决策的终点,而是对话的起点。
它的分数,不是命令,而是邀请你深入追问的引子。
当我们不再迷信“9.8分=紧急”,而是学会说:
“这个漏洞 CVSS 是 7.5,EPSS 是 85%,影响核心支付系统,建议立即响应。”
那一刻,我们才真正驾驭了CVSS,而不是被它驾驭。
