阿里云云安全中心可提供Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞、应用漏洞和应急漏洞的检测和修复服务。

保护云上资产安全最重要的环节包括对漏洞修复进行优先级评定。如果您拥有的资产数量较多,您可能在控制台看到多个漏洞,这时优先修复哪些漏洞可能会成为您头疼的难题。为了解决这个问题,云安全中心提供了一套新颖的评价标准,为您有序地修复漏洞提供参考。

漏洞修复建议得分

在评价一个Linux软件漏洞应用漏洞Windows系统漏洞是否应该优先修复时,云安全中心引入了漏洞修复建议得分,并根据漏洞修复建议得分将漏洞划分为三个级别:需尽快修复、可延后修复、暂可不修复。
说明 应急漏洞和WebCMS漏洞均为阿里云安全工程师反复确认后的高危漏洞,所以统一建议您尽快修复。

漏洞修复建议得分的计算方法如下:

漏洞修复建议得分 = 软件漏洞的CVSS基础分 * 时间因子 * 实际环境因子 * 资产重要性因子

其中参数解释如下:
  • 软件漏洞的CVSS基础分:来源于该漏洞的CVSS2/3基础分,取值范围为0-10。
  • 时间因子:弥补CVSS基础分的不足,综合了漏洞缓解措施被部署的时间延迟和漏洞利用方法的普及等因素后,形成的一条动态变化曲线,其取值范围为0-1。

    在漏洞公开的前三天,由于曝光率的增加,该漏洞被利用的几率会急剧增加,时间因子将从0增加并达到短暂的峰值(小于1),随后急剧下降。随着时间的推移,对漏洞成熟的利用手段将越来越多,漏洞实际利用难度在下降,时间因子将在100天之内逐渐增加并趋近于1。

  • 实际环境因子:您的实际环境对判断漏洞风险至关重要,我们对该漏洞利用所需的条件和您机器的情况进行综合考虑,得出一个环境风险因数。

    当前纳入参考的环境因素有:

    • 您的机器有对公网的流量:
      • 如果漏洞属于一个可以远程利用的漏洞,则环境因子为1.5。
      • 如果漏洞属于一个可邻网利用的漏洞,则环境因子为1.2。
      • 如果漏洞属于本地利用,则环境因子为1。
      • 对某些需要云上难以复现的环境来利用的漏洞,通过环境因子大幅降权。
    • 您的机器只有内网的流量:
      • 如果漏洞属于一个可以远程利用的漏洞,则通过环境因子大幅降权(设0)。
      • 如果漏洞属于一个可邻网利用的漏洞,则环境因子为1.2。
      • 如果漏洞属于本地利用,则环境因子为1。
      • 对某些需要云上难以复现的环境来利用的漏洞,通过环境因子大幅降权。
  • 资产重要性因子:当机器数量很多时,系统为不同的机器/资产赋予不同使用场景下的重要性分值,并把该分值纳入漏洞修复建议分的计算之中,为您有序修复漏洞提供有价值的参考。
    说明 资产重要性因子为默认 1。

从云安全中心发现漏洞到计算出漏洞的修复建议得分,大约有48小时的延迟。

说明
  • 当一个漏洞刚被公布时,官方可能没有给出其CVSS基础分,这一部分漏洞的修复建议将会延迟到官方给出CVSS分后的48小时才能得出。
  • 由于您的云安全中心离线等网络异常问题可能导致环境因子无法计算,此时您需要等待网络环境恢复正常后的48小时才能看到修复建议。

漏洞修复建议(必要性)

  • 需尽快修复:漏洞修复建议得分在13.5-15之间。
  • 可延后修复:漏洞修复建议得分在7.1-13.5之间。
  • 暂可不修复:漏洞修复建议得分在7以下。

特殊情况下的修复建议

  • 当一个漏洞刚被扫描出来时,由于需要参照您的环境对参考分值进行加权,我们需要48小时的时间来评估修复建议。在这段时间内,漏洞的修复建议将依据漏洞本身的严重等级给出:
    • 如果该漏洞是严重漏洞:需尽快修复
    • 如果该漏洞是高危/中危漏洞:可延后修复
    • 如果该漏洞是低危漏洞:暂可不修复
  • 由于网络抖动等原因我们无法获取该漏洞的环境因子时,漏洞修复建议将统一为暂可不修复