通用漏洞評分系統(tǒng)（CVSS）評分已被視為確定漏洞優(yōu)先級的主要標(biāo)準(zhǔn)。漏洞的CVSS 分?jǐn)?shù)范圍從1 到10（嚴(yán)重性依次遞增）。面對持續(xù)激增的漏洞，組織更傾向于依靠CVSS 評分來確定優(yōu)先級。但是CVSS 評分也存在很多問題。例如，在組織中，通常將嚴(yán)重程度得分超過7 的漏洞都視為高風(fēng)險，每年發(fā)現(xiàn)的總漏洞中有很大一部分屬于此類別，但只有一小部分會在網(wǎng)絡(luò)攻擊中被利用。

CVSS 分?jǐn)?shù)將在發(fā)現(xiàn)漏洞后的兩周內(nèi)評定，并且不會再修改。有時，嚴(yán)重程度較低的漏洞在披露后被廣泛利用，而從未反映在CVSS 評分中。

僅基于CVSS 和嚴(yán)重程度等級確定漏洞優(yōu)先級的組織，將處理大量被分類為嚴(yán)重但實(shí)際幾乎沒有風(fēng)險的漏洞，這就失去了對漏洞進(jìn)行優(yōu)先級排序的意義。結(jié)果就是，大量的精力被分散到很少利用的漏洞上，而需要立即關(guān)注的重要漏洞仍然被暴露。

組織應(yīng)采用多維度的、基于風(fēng)險的優(yōu)先級排序方法，優(yōu)化基于CVSS 評分得出的評估，評估維度包括：暴露時間、利用可用性、當(dāng)前利用活動、受影響的資產(chǎn)數(shù)量、受影響的資產(chǎn)關(guān)鍵性、影響類型和補(bǔ)丁可用性。

我們再來探討一下如何聚焦關(guān)鍵漏洞并采取措施。

了解漏洞的可用性和漏洞活動

知道某個漏洞是否公開可用，對于漏洞優(yōu)先級的確認(rèn)至關(guān)重要。無論嚴(yán)重程度如何，這些都是需要立即注意的漏洞，因?yàn)檎l都可以利用其侵入您的網(wǎng)絡(luò)并竊取敏感數(shù)據(jù)。

安全團(tuán)隊(duì)?wèi)?yīng)該積極利用新披露的漏洞，保持對攻擊者活動的了解，并將注意力和精力集中在解決高危漏洞上。

將受影響的資產(chǎn)數(shù)量和關(guān)鍵性列入漏洞優(yōu)先級排序

資產(chǎn)的重要程度是不同的。比如Web 服務(wù)器位于您網(wǎng)絡(luò)的外圍并且暴露于Internet，很容易成為黑客的目標(biāo)。定義評估范圍時，數(shù)據(jù)庫服務(wù)器（記錄著大量信息，如客戶的個人信息和付款明細(xì)）也應(yīng)優(yōu)先于其他資產(chǎn)。因?yàn)閷τ谙襁@樣的關(guān)鍵業(yè)務(wù)資產(chǎn)來說，即使是漏洞級別較低的漏洞也可能造成高風(fēng)險損失。

確定漏洞在終端潛伏了多長時間

一旦發(fā)現(xiàn)漏洞，安全團(tuán)隊(duì)和攻擊者之間爭分奪秒的競賽就開始了。確定高危漏洞在您的終端中潛伏了多長時間至關(guān)重要。讓漏洞長時間駐留在您的網(wǎng)絡(luò)中就代表著脆弱的安全體系架構(gòu)。

一開始看起來似乎不那么嚴(yán)重的漏洞，隨著時間的推移，可能會變得致命，因?yàn)楣粽呖赡苓t早會開發(fā)出可以利用這些漏洞的程序。更好的做法是立即解決已知漏洞或被積極利用的漏洞，然后解決標(biāo)記為關(guān)鍵的漏洞。

根據(jù)影響類型分類漏洞

盡管利用的易用性在風(fēng)險評估中占著很大比重，但可利用的漏洞并不一定就會受到攻擊。實(shí)際上，攻擊者選擇要利用的漏洞，并不會僅因?yàn)槁┒纯捎没虮阌诠?，他們利用漏洞是要達(dá)成目標(biāo)。只有在這樣的前提下，才會考慮漏洞的可用性和易用性。

漏洞的影響可能包括但不限于拒絕服務(wù)、遠(yuǎn)程代碼執(zhí)行、內(nèi)存損壞、特權(quán)提升、跨站點(diǎn)腳本和敏感數(shù)據(jù)泄露。

使用基于上述風(fēng)險因素分析漏洞的解決方案，可以幫助您更好地分類漏洞，并為組織采取合適的安全措施。ManageEngine Vulnerability Manager Plus，一個由優(yōu)先級驅(qū)動的威脅和漏洞管理解決方案，可以為您很好地解決以上漏洞問題。