一项新的研究称，社交媒体可以作为漏洞威胁的有用指标，并可能带来更准确的CVSS评分和优先级。

云计算安全厂商NopSec公司的最新漏洞研究质疑通用安全漏洞评分系统（CVSS）的精确度，并声称社交媒体可以为关键漏洞提供更好的指标。

NopSec公司的《2015年漏洞风险管理状况》报告调查了国家漏洞库中超过20年期间65000多个漏洞。该调查的结论包括，单靠CVSS评分并不足以确定风险情况，并且需要考虑其他因素以建立更好的技术风险评分。

其中一个因素是社交媒体中的回复，特别是Twitter。根据这项研究显示，Twitter是分析漏洞风险和优先排序企业安全相应的非常有用的指标之一。NopSec表示，社交媒体中对漏洞的提及可以有效预测潜在风险。

“我们发现在社交媒体的回复可以表明漏洞的重要性，而不是根据CVSS提供的评分，”NopSec公司首席技术官Michelangelo Sidagni表示，“企业的专业人士如果感觉漏洞很重要，他们会在社交媒体中谈论它。我们想要展示漏洞关键性和社交媒体提及之间的关系，特别是在Twitter。”

如果没有重视社交媒体推文的价值，低到中等CVSS评分的主要漏洞可能不会得到企业安全人员必要的重视。他举了Heartbleed漏洞作为例子，这个去年发现的开源加密漏洞被专家视为他们所见过的最严重的漏洞，而Heartbleed仅得到CVSS 5分，其中10分为满分，这属于“中等”严重性。

但Heartbleed在社交媒体得到广泛关注。NopSec公司的调查发现，他们列为“严重漏洞”的漏洞（例如Heartbleed）在Twitter平均被提到748次。NopSec研究中获得高分数的漏洞平均被提到89次，而中等评分只有8次。

CVSS由事件响应和安全小组论坛（FIRST）维护，最近，对于CVSS评分以及Heartbleed的低评分等问题，该论坛受到广泛的批评和抨击。

根据FIRST的CVSSv3特别兴趣小组负责人Seth Hanford表示，关于该系统的一些问题已经在CVSS版本3中得到解决，该版本于2015年5月28日发布。Hanford表示：“我们从漏洞评分社区收到相当多的反馈称CVSSv2有很多问题需要解决。”
其他供应商也在试图使用或者甚至推出自己的漏洞评分系统，例如2014年的Tripwire，但专家普遍认为漏洞风险评估最好采用标准的方法。

“虽然CVSS是强大的指标，但与所有通用指标一样，它是非具体的，”Nettitude Group公司高级eGRC顾问Ben Rothke表示，“为了获得最佳效果，它需要为使用它的特定实体进行定制化。但现实情况是，大多数企业没有这样做。他们只会简单地使用Rapid7、Qualys和Tenable的信息，而不会根据自己的具体风险和环境进行定制。”

Rothke称，CVSS是个免费和开放的行业标准，它被用作威胁的快速措施，但想要真正有效，它需要对特定公司进行定制化。

Rothke称：“如果企业有一个高CVSS评分的漏洞，而没有漏洞利用，还有另一个较低评分，但有漏洞利用，哪个漏洞需要优先解决？”

Hanford认为每个企业需要根据自己的环境和风险承认能力来分析漏洞和CVSS评分。
“例如，如果微软Windows中有一个漏洞，CVSS可以告诉你它对Windows操作系统有多么危险，但企业需要确定Windows对其的重要性，”Hanford称，“如果Windows是在CEO的办公桌，那么，这要比在其呼叫中心的Windows更加重要。”

同时，NopSec认为Twitter是IT和IT安全人员共享信息的常用社交媒体。虽然该研究并没有确定推文讨论漏洞的具体人员，但该公司发现其漏洞评级与Twitter上提到的次数非常相关。

“这并不是说，我们建议使用它作为风险的唯一标准，”Sidagni表示，“我们的感觉是CVSS评分并不是评测风险的唯一方法，实际上，它并不是很精确的方法。技术风险只属于该漏洞的技术方面，但漏洞的其他方面包括漏洞利用的可用性、恶意软件的存在、社交媒体中漏洞的普及度，以及客户群或客户主机的相关性。”