|
PrivilegesRequired 及其影响 PrivilegesRequired 是评估利用漏洞所需的访问级别的一个因素。
这是按三点量表进行评级的:“无”、“低”和“高”。
此元素表明攻击者是否需要拥有特定权限才能利用该漏洞。
“无”表示攻击者不需要任何特殊权限,可以轻松利用该漏洞,这将对分数产生重大影响。
另一方面,在“高”类别中,攻击者需要提升权限,例如管理权限,因此对分数的影响较小。
例如,在公众可访问的系统上出现的漏洞可能被评定为权限要求“无”。
这种评估对于确定组织应如何应对漏洞非常重要。
如果权限要求“高”,有效的措施包括加强权限管理和访问控制。
因此,评估权限要求是评估漏洞利用风险的重要因素。
UserInteraction 评估是否需要用户交互来利用该漏洞。
此元素在两个级别上进行评估:“必需”或“无”。
如果“不需要”用户交互,这将对分数产生重大影响,因为攻击者可以在没有任何用户参与的情况下利用该漏洞。
另一方面,如果“需要”用户交互,攻击者就需要提示用户采取行动,这对分数的影响较小。
例如,如果用户需要点击欺诈 ws电话列表 链接(例如在网络钓鱼攻击中),则用户交互被评为“必需”。 另一方面,如果远程代码执行漏洞被自动利用,则被评为“无需用户交互”。
该指标对于更准确地评估漏洞的可利用性非常重要。
基于此因素,组织可以通过教育用户和提高操作意识来采取有效措施来降低风险。 TemporalMetrics 的特征和用途时间指标是一组用于评估漏洞在当前状态下的严重程度的指标。
该指标会调整从基本指标得出的分数,以考虑随时间和漏洞可用性的变化。
例如,如果漏洞代码已经发布,漏洞的风险就会增加,因此分数也会增加。
另一方面,如果有补丁可用,风险就会降低,分数也可能会降低。
当前状态评估标准由三个要素组成:漏洞代码成熟度(ExploitCodeMaturity)、补救措施的可用性(RemediationLevel)和报告信心(ReportConfidence)。
该标准评估漏洞在当前环境下被利用的可能性,为分数添加了现实世界的视角。
通过此评估,组织可以更有效地确定其漏洞响应工作的优先顺序。
例如,如果漏洞代码已经可用,则可能需要立即采取行动来发现新发现的漏洞。
另一方面,如果漏洞代码尚不存在,则可以采取有计划的响应。
现状评估标准有助于根据此类情况进行风险管理。
| 
發表於 2025-4-12 14:55:07