通用漏洞评分系统（CVSS）评分已被视为确定漏洞优先级的主要标准。漏洞的CVSS 分数范围从1 到10（严重性依次递增）。面对持续激增的漏洞，组织更倾向于依靠CVSS 评分来确定优先级。但是CVSS 评分也存在很多问题。例如，在组织中，通常将严重程度得分超过7 的漏洞都视为高风险，每年发现的总漏洞中有很大一部分属于此类别，但只有一小部分会在网络攻击中被利用。

CVSS 分数将在发现漏洞后的两周内评定，并且不会再修改。有时，严重程度较低的漏洞在披露后被广泛利用，而从未反映在CVSS 评分中。

仅基于CVSS 和严重程度等级确定漏洞优先级的组织，将处理大量被分类为严重但实际几乎没有风险的漏洞，这就失去了对漏洞进行优先级排序的意义。结果就是，大量的精力被分散到很少利用的漏洞上，而需要立即关注的重要漏洞仍然被暴露。

组织应采用多维度的、基于风险的优先级排序方法，优化基于CVSS 评分得出的评估，评估维度包括：暴露时间、利用可用性、当前利用活动、受影响的资产数量、受影响的资产关键性、影响类型和补丁可用性。

我们再来探讨一下如何聚焦关键漏洞并采取措施。

了解漏洞的可用性和漏洞活动

知道某个漏洞是否公开可用，对于漏洞优先级的确认至关重要。无论严重程度如何，这些都是需要立即注意的漏洞，因为谁都可以利用其侵入您的网络并窃取敏感数据。

安全团队应该积极利用新披露的漏洞，保持对攻击者活动的了解，并将注意力和精力集中在解决高危漏洞上。

将受影响的资产数量和关键性列入漏洞优先级排序

资产的重要程度是不同的。比如Web 服务器位于您网络的外围并且暴露于Internet，很容易成为黑客的目标。定义评估范围时，数据库服务器（记录着大量信息，如客户的个人信息和付款明细）也应优先于其他资产。因为对于像这样的关键业务资产来说，即使是漏洞级别较低的漏洞也可能造成高风险损失。

确定漏洞在终端潜伏了多长时间

一旦发现漏洞，安全团队和攻击者之间争分夺秒的竞赛就开始了。确定高危漏洞在您的终端中潜伏了多长时间至关重要。让漏洞长时间驻留在您的网络中就代表着脆弱的安全体系架构。

一开始看起来似乎不那么严重的漏洞，随着时间的推移，可能会变得致命，因为攻击者可能迟早会开发出可以利用这些漏洞的程序。更好的做法是立即解决已知漏洞或被积极利用的漏洞，然后解决标记为关键的漏洞。

根据影响类型分类漏洞

尽管利用的易用性在风险评估中占着很大比重，但可利用的漏洞并不一定就会受到攻击。实际上，攻击者选择要利用的漏洞，并不会仅因为漏洞可用或便于攻击，他们利用漏洞是要达成目标。只有在这样的前提下，才会考虑漏洞的可用性和易用性。

漏洞的影响可能包括但不限于拒绝服务、远程代码执行、内存损坏、特权提升、跨站点脚本和敏感数据泄露。

使用基于上述风险因素分析漏洞的解决方案，可以帮助您更好地分类漏洞，并为组织采取合适的安全措施。ManageEngine Vulnerability Manager Plus，一个由优先级驱动的威胁和漏洞管理解决方案，可以为您很好地解决以上漏洞问题。