脆弱性披露的动态局势分析

关键要点

• Flashpoint发布的《中期脆弱性情报报告》发现，2022年上半年收集了11,860个脆弱性，其中27.3%未被CVE/NVD服务报告。
• 52%的10.0评级脆弱性可能评分不准确。
• CVSSv2模型未能全面反映脆弱性，建议采用更新的评估模型EPSS提高识别准确性。

Flashpoint在周四发布的显示，尽管2022年上半年收集了11,860个脆弱性，但CVE/NVD服务却未能报告和详细描述其中27.3%的内容。

Flashpoint的脆弱性情报副总裁BrianMartin指出，组织需要理解脆弱性披露的局势非常不稳定，所谓的“标准”天数可能引入传统上仅在补丁星期二等行业活动中才能见到的脆弱性数量。

此外，报告还发现，使用CVSSv2评分进行优先级排序的安全团队可能存在误导，因为Flashpoint发现截至目前2022年，有52%的10.0脆弱性评分可能不准确。

“在缺乏关于脆弱性详细信息时，我们会‘按最坏情况评分’，这导致很多脆弱性评分偏高。”Martin如是表示。

Viakoo首席执行官BudBroomhead称，CVSSv2下的脆弱性评分从未完全准确，因为它无法考虑随着时间推移而演变的因素。CVSSv2于2007年推出，后来的版本（特别是2019年发布的CVSSv3.1）考虑了脆弱性的更多实际影响。“在中，CVSS的优化，尤其是对IoT/OT脆弱性的改进，将帮助安全专业人士更准确地对风险进行优先排序，”Broomhead说。

Flashpoint的Martin表示，他们的研究人员还观察到，2022年上半年关于“在野外发现”的脆弱性报告存在85%的差异，这与谷歌的ProjectZero等资源提供的数据相比，后者显示对漏洞的利用往往发生在高级持续威胁（APT）攻击之外。

Deep Instinct的产品营销经理JerrodPiker表示，这意味着CVSS模型所标识的需要立即处理的关键脆弱性与实际在现实中最有可能导致问题的脆弱性之间存在很大差距。Piker提到，一种被称为（EPSS）模型，旨在解决CVSS模型的准确性问题，这可能会使组织暴露于风险之中，也浪费补丁管理过程中的大量时间。

“利用这种新的评分系统，EPSS模型能够将补丁管理的效率从5%提升到42.5%，通过更有效地识别哪些报告的脆弱性最有可能在野外被黑客利用，”Piker表示。“这节省了大量时间，避免了不必要的补丁，确保组织能够快速、高效地解决最关键的脆弱性，以及黑客最有可能