云安全中心可展示漏洞的修复紧急度得分,帮助您判断一个漏洞是否应该优先修复。本文档介绍了如何确定漏洞修复的优先级。

背景信息

保护云上资产安全最重要的环节包括对漏洞修复进行优先级评定。如果您拥有的资产数量较多,当被检测出多个漏洞时,您可能无法确定应该优先修复哪些漏洞。为解决这个问题,云安全中心制定了漏洞修复紧急度评分标准,为您有序地修复漏洞提供参考。

漏洞修复紧急度得分

计算方法

漏洞修复紧急度得分 = 软件漏洞的CVSS影响分 * 时间因子 * 实际环境因子 * 资产重要性因子

其中参数解释如下:
参数项 参数项解释 附加说明
软件漏洞的CVSS影响分 来源于该漏洞的CVSS影响分。取值范围为0~10。 CVSS(即通用漏洞评分系统),用来评测漏洞的严重程度。
时间因子 弥补CVSS影响分的不足,综合了漏洞缓解措施受部署的时间延迟和漏洞利用方法的普及等因素后,形成的一条动态变化的时间曲线。取值范围为0~1。 在漏洞公开的前三天,由于曝光率的增加,该漏洞被利用的机率会急剧增加,时间因子将从0增加并达到短暂的峰值(小于1),随后急剧下降。随着时间的推移,对漏洞成熟的利用手段将越来越多,漏洞实际利用难度在下降,时间因子将在100天之内逐渐增加并趋近于1。
实际环境因子 您服务器的实际环境。云安全中心对该漏洞利用所需的条件和您服务器的状态进行综合考虑,得出一个环境风险因子。 实际环境因子对判断漏洞风险非常重要。

当前纳入参考的环境因素有:

  • 您的服务器已与公网连接:
    • 如果漏洞属于一个可以远程利用的漏洞,则环境因子取值为1.5。
    • 如果漏洞属于一个可利用的漏洞,则环境因子取值为1.2。
    • 如果漏洞属于本地利用,则环境因子取值为1。
    • 对某些需要云上难以复现的环境来利用的漏洞,通过环境因子大幅降权,云安全中心根据您服务器的实际情况动态调整权重。
  • 您的服务器只连接了内网、未连接公网:
    • 如果漏洞属于一个可以远程利用的漏洞,则通过环境因子大幅降权,云安全中心根据您服务器的实际情况动态调整权重。
    • 如果漏洞属于一个可利用的漏洞,则环境因子为1.2。
    • 如果漏洞属于本地利用,则环境因子为1。
    • 对某些需要云上难以复现的环境来利用的漏洞,通过环境因子大幅降权,云安全中心根据您服务器的实际情况动态调整权重。
资产重要性因子 当服务器数量很多时,系统为不同的服务器资产赋予不同使用场景下的重要性分值,并把该分值纳入漏洞修复建议分的计算之中,为您有序修复漏洞提供有价值的参考。 资产重要性因子默认值为1。

漏洞修复建议(推荐)

  • 需尽快修复:漏洞修复紧急度得分在13.5~15之间(通常是高危漏洞)。
  • 可延后修复:漏洞修复紧急度得分在7.1~13.5之间(通常是中危漏洞)。
  • 暂可不修复:漏洞修复紧急度得分在7以下(通常是低危漏洞)。
说明
  • 由于网络抖动等原因导致云安全中心无法获取该漏洞的环境因子时,漏洞修复建议会展示为暂可不修复
  • 应急漏洞和Web-CMS漏洞均为阿里云安全工程师确认后的高危漏洞,建议您尽快修复这两类漏洞。