Использование общей системы оценки уязвимостей
10 декабря 2022 г.Общая система оценки уязвимостей (CVSS) — это способ присвоения баллов уязвимостям на основе их основных характеристик. Эта оценка указывает на серьезность уязвимости, и на этой основе ее можно разделить на низкую, среднюю, высокую и критическую серьезность, которые могут использоваться организацией для определения приоритетов уязвимостей, присутствующих в системе.
CVSS имеет две версии системы оценки CVSS2 и CVSS3, cvss2 был выпущен в 2007 году и имел диапазон оценок от 0 до 10 с тремя уровнями серьезности: низкий, средний и высокий, в то время как cvss3 запущен. в 2015 году с диапазоном баллов от 0 до 10 с 5 уровнями серьезности: нет, низкий, средний, высокий и критический. Группы базовых, временных и экологических метрик остались прежними, хотя в группах базовых и экологических показателей были внесены некоторые изменения, чтобы определить точные оценки уязвимости.
Как работает CVSS
Оценка CVSS варьируется от 0,0 до 10,0, где 1,0 считается наименее серьезным, а 10,0 — наиболее тяжелым. Сопоставление оценки CVSS с качественными оценками:
| Диапазон базовых оценок | Серьезность | |----|----| | 0,0 | Нет | | 0,1–3,9 | Низкий | | 4.0–6.9 | Средний | | 7,0–8,9 | Высокий | | 9,0–10,0 | Критический |
Показатели оценки CVSS
Оценка CVSS выводится из трех наборов показателей базовый, конечный и экологический. Эти три показателя охватывают различные характеристики уязвимости, ее воздействие и переносимость среды с течением времени.
Базовые показатели
Базовые метрики представляют собой базовую оценку в диапазоне от 0 до 10 и неотъемлемые характеристики уязвимости, то есть эти характеристики не меняются с течением времени. Он состоит из двух наборов показателей:
Метрики эксплуатации:
* Вектор атаки * Сложность атаки * Требуются привилегии * Взаимодействие с пользователем * Область
Показатели воздействия:
* Влияние на конфиденциальность * Воздействие на целостность * Влияние на доступность
Временные показатели
Временные метрики представляют собой характеристики уязвимости, которые меняются со временем. Кроме того, он содержит метрику Report Confidence, которая измеряет степень уверенности в существовании уязвимости. Он состоит из трех групп показателей:
* Использование зрелости кода * Уровень исправления * Сообщить о достоверности
Показатели окружающей среды
Метрики среды представляют собой характеристики уязвимости, которые имеют значение и влияют на среду конкретного пользователя. Категории экологических показателей включают:
* Потенциальный побочный ущерб * Требование конфиденциальности * Требование целостности * Требование доступности
Например, рассмотрим уязвимость с оценкой CVSS 6,5 и вектором:
Приведенное выше значение вектора указывает:
AV: L — (вектор атаки). Это означает, что уязвимость можно использовать при локальном доступе.
AC: L — (сложность атаки). Значение этого вектора указывает, что специального условия доступа не существует.
PR: L – (требуются привилегии). Это указывает на то, что злоумышленник авторизован с привилегиями, обеспечивающими базовые возможности пользователя.
Интерфейс: N – (Взаимодействие с пользователем) Уязвимая система может быть использована без участия любого пользователя.
S: U — (Область применения) Используемая уязвимость может повлиять только на ресурсы, управляемые одним и тем же органом.
C: H — (Влияние на конфиденциальность) Полная потеря конфиденциальности, в результате чего все ресурсы затронутого компонента становятся доступными злоумышленнику.
I: H – (воздействие на целостность) Полная потеря целостности.
A: H — (Влияние на доступность) Потеря доступности означает, что злоумышленник может полностью запретить доступ к ресурсам затронутого компонента.
E: U — (зрелость кода эксплойта). Код эксплойта недоступен или эксплойт чисто теоретический.
RL: O — (уровень исправления) доступно полное решение поставщика. Либо поставщик выпустил официальное исправление, либо доступно обновление.
RC: R — (достоверность отчета) Однако существует разумная уверенность в том, что большая часть воспроизводима и можно проверить хотя бы одно воздействие.
CR: H – (Требование конфиденциальности) Потеря конфиденциальности может иметь катастрофические негативные последствия для организации.
IR: H – (Требование честности) Потеря честности может иметь катастрофические негативные последствия для организации.
AR: L – (Требование доступности) Потеря доступности, вероятно, окажет ограниченное неблагоприятное воздействие на организацию.
:::информация Также опубликовано здесь.
:::
Оригинал