Общая система оценки уязвимости - Common Vulnerability Scoring System

В Общая система оценки уязвимости (CVSS) является бесплатным и открыто промышленный стандарт для оценки степени тяжести безопасность компьютерной системы уязвимости. CVSS пытается присвоить степени серьезности уязвимостям, позволяя респондентам определять приоритеты ответов и ресурсов в соответствии с угрозой. Баллы рассчитываются по формуле, которая зависит от нескольких метрики это приблизительная простота использования и влияние эксплойта. Оценки варьируются от 0 до 10, причем 10 - наиболее серьезное заболевание. Хотя многие используют только базовый балл CVSS для определения серьезности, также существуют временные баллы и баллы по окружающей среде, чтобы учесть доступность смягчающих мер и степень распространения уязвимых систем в организации, соответственно.

Текущая версия CVSS (CVSSv3.1) была выпущена в июне 2019 года.[1]

История

Исследования Национальный консультативный совет по инфраструктуре (NIAC) в 2003/2004 г. привела к запуску CVSS версии 1 (CVSSv1) в феврале 2005 г., цель которой - «обеспечивать открытые и универсально стандартные оценки серьезности уязвимостей программного обеспечения». Этот первоначальный проект не подвергался экспертной оценке или рецензированию другими организациями. В апреле 2005 года NIAC выбрал Форум групп реагирования на инциденты и безопасности (ПЕРВЫЙ ), чтобы стать хранителем CVSS для будущего развития.[2]

Отзывы от поставщиков, использующих CVSSv1 в производстве, говорят о «существенных проблемах с первоначальным проектом CVSS». Работа над CVSS версии 2 (CVSSv2) началась в апреле 2005 г., а окончательная спецификация была выпущена в июне 2007 г.[3]

Дальнейшие отзывы привели к началу работы над CVSS версии 3.[4] в 2012 году, закончившись выпуском CVSSv3.0 в июне 2015 года.[5]

Терминология

Оценка CVSS измеряет три проблемных области:

  1. Базовые метрики для качеств, присущих уязвимости
  2. Временные метрики для характеристик, которые развиваются за время существования уязвимости
  3. Параметры среды для уязвимостей, зависящих от конкретной реализации или среды

Для каждой из этих групп показателей создается числовая оценка. Векторная строка (или просто «вектор» в CVSSv2) представляет значения всех показателей в виде блока текста.

Версия 2

Полная документация по CVSSv2 доступна на сайте FIRST.[6] Резюме представлено ниже.

Базовые показатели

Вектор доступа

Вектор доступа (AV) показывает, как можно использовать уязвимость.

ЦенитьОписаниеСчет
Местный (L)Злоумышленник должен иметь физический доступ к уязвимой системе (например, Firewire атаки ) или локальный аккаунт (например, повышение привилегий атака).0.395
Смежная сеть (A)Злоумышленник должен иметь доступ к широковещательному домену или домену конфликтов уязвимой системы (например, Подмена ARP, Bluetooth-атаки).0.646
Сеть (N)Уязвимый интерфейс работает на уровне 3 или выше сетевого стека OSI. Эти типы уязвимостей часто описываются как уязвимости, которые можно использовать удаленно (например, удаленное переполнение буфера в сетевой службе).1.0

Сложность доступа

Метрика сложности доступа (AC) описывает, насколько легко или сложно использовать обнаруженную уязвимость.

ЦенитьОписаниеСчет
Высокий (H)Существуют специальные условия, такие как состояние гонки с узким окном или требованием социальная инженерия методы, которые легко заметят знающие люди.0.35
Средний (M)Для атаки существуют некоторые дополнительные требования, такие как ограничение источника атаки или требование, чтобы уязвимая система работала с необычной конфигурацией, отличной от стандартной.0.61
Низкий (L)Не существует особых условий для использования уязвимости, например, когда система доступна большому количеству пользователей или когда уязвимая конфигурация является повсеместной.0.71

Аутентификация

Метрика аутентификации (Au) описывает, сколько раз злоумышленник должен пройти аутентификацию на цели, чтобы воспользоваться ею. Он не включает (например) аутентификацию в сети для получения доступа. Для уязвимостей, которые можно использовать локально, это значение должно быть установлено на Single или Multiple, только если после первоначального доступа требуется дополнительная аутентификация.

ЦенитьОписаниеСчет
Множественный (M)Для эксплуатации уязвимости злоумышленник должен пройти аутентификацию два или более раз, даже если каждый раз используются одни и те же учетные данные.0.45
Одноместный (S)Злоумышленник должен пройти аутентификацию один раз, чтобы воспользоваться уязвимостью.0.56
Нет (N)Злоумышленник не требует аутентификации.0.704

Показатели воздействия

Конфиденциальность

Показатель конфиденциальности (C) описывает влияние на конфиденциальность данных, обрабатываемых системой.

ЦенитьОписаниеСчет
Нет (N)Это не влияет на конфиденциальность системы.0.0
Частично (P)Информация широко раскрывается, но объем потерь ограничен, поэтому не все данные доступны.0.275
Завершено (C)Полное раскрытие информации, обеспечивающее доступ к любым / всем данным в системе. В качестве альтернативы предоставляется доступ только к некоторой информации ограниченного доступа, но раскрытая информация оказывает прямое серьезное влияние.0.660

Честность

Показатель целостности (I) описывает влияние на целостность эксплуатируемой системы.

ЦенитьОписаниеСчет
Нет (N)Не влияет на целостность системы.0.0
Частично (P)Возможно изменение некоторых данных или системных файлов, но объем изменения ограничен.0.275
Завершено (C)Полная потеря целостности; злоумышленник может изменить любые файлы или информацию в целевой системе.0.660

Доступность

Показатель доступности (A) описывает влияние на доступность целевой системы. Атаки, которые потребляют пропускную способность сети, циклы процессора, память или любые другие ресурсы, влияют на доступность системы.

ЦенитьОписаниеСчет
Нет (N)Это не влияет на доступность системы.0.0
Частично (P)Происходит снижение производительности или потеря некоторых функций.0.275
Завершено (C)Полная потеря доступности атакованного ресурса.0.660

Расчеты

Эти шесть показателей используются для расчета баллов для использования и воздействия уязвимости. Эти промежуточные баллы используются для расчета общей базовой оценки.

Метрики объединяются для создания вектора CVSS для уязвимости.

Пример

Уязвимость, связанная с переполнением буфера, затрагивает программное обеспечение веб-сервера, которое позволяет удаленному пользователю получить частичный контроль над системой, включая возможность ее выключения:

МетрическаяЦенитьОписание
Вектор доступаСетьДоступ к уязвимости можно получить из любой сети, которая может получить доступ к целевой системе - как правило, через весь Интернет.
Сложность доступаНизкийОсобых требований к доступу нет
АутентификацияНиктоДля использования уязвимости аутентификация не требуется.
КонфиденциальностьЧастичноеЗлоумышленник может читать некоторые файлы и данные в системе.
ЧестностьЧастичноеЗлоумышленник может изменить некоторые файлы и данные в системе.
ДоступностьПолныйЗлоумышленник может привести к тому, что система и веб-служба станут недоступны / не отвечают, выключив систему.

Это даст промежуточную оценку уязвимости 10 и промежуточную оценку воздействия 8,5, что даст общую базовую оценку 9,0. Вектор для базовой оценки в этом случае будет AV: N / AC: L / Au: N / C: P / I: P / A: C. Оценка и вектор обычно представлены вместе, чтобы получатель мог полностью понять природу уязвимости и при необходимости рассчитать свой собственный экологический балл.

Временные метрики

Ценность временных метрик меняется в течение срока действия уязвимости по мере разработки, раскрытия и автоматизации эксплойтов, а также по мере появления средств защиты и исправлений.

Возможность использования

Показатель пригодности к эксплуатации (E) описывает текущее состояние методов эксплуатации или автоматизированного кода эксплуатации.

ЦенитьОписаниеСчет
Недоказано (U)Код эксплойта недоступен, или эксплойт является теоретическим0.85
Доказательство концепции (P)Доступны проверочный код эксплойта или демонстрационные атаки, но они не подходят для широкого использования. Не работает против всех экземпляров уязвимости.0.9
Функциональный (F)Функциональный код эксплойта доступен и работает в большинстве ситуаций, в которых присутствует уязвимость.0.95
Высокий (H)Уязвимость может использоваться автоматическим кодом, включая мобильный код (например, червь или вирус).1.0
Не определено (ND)Это сигнал игнорировать этот счет.1.0

Уровень исправления

Уровень исправления (RL) уязвимости позволяет уменьшать временную оценку уязвимости по мере появления средств смягчения и официальных исправлений.

ЦенитьОписаниеСчет
Официальное исправление (O)Доступно полное решение от поставщика - либо исправление, либо обновление.0.87
Временное исправление (T)У поставщика есть официальное, но временное исправление / смягчение последствий.0.90
Обходной путь (клавиша W)Доступно неофициальное решение или средство защиты от сторонних поставщиков, которое может быть разработано или предложено пользователями затронутого продукта или другой третьей стороной.0.95
Недоступно (U)Доступного решения нет или невозможно применить предложенное решение. Это обычное начальное состояние уровня исправления при обнаружении уязвимости.1.0
Не определено (ND)Это сигнал игнорировать этот счет.1.0

Сообщить об уверенности

Отчет о достоверности (RC) уязвимости измеряет уровень уверенности в существовании уязвимости, а также достоверность технических деталей уязвимости.

ЦенитьОписаниеСчет
Не подтверждено (UC)Один неподтвержденный источник или несколько конфликтующих источников. По слухам, уязвимость.0.9
Неподтвержденный (UR)Множество источников, которые в целом согласны - может существовать определенный уровень неопределенности в отношении уязвимости0.95
Подтверждено (C)Подтверждено и подтверждено поставщиком или производителем затронутого продукта.1.0
Не определено (ND)Это сигнал игнорировать этот счет.1.0

Расчеты

Эти три показателя используются вместе с базовой оценкой, которая уже была рассчитана для получения временной оценки уязвимости с соответствующим вектором.

Формула, используемая для расчета временной оценки:

Пример

Чтобы продолжить приведенный выше пример, если поставщик был впервые проинформирован об уязвимости путем публикации кода подтверждения концепции в списке рассылки, начальная временная оценка будет рассчитана с использованием значений, показанных ниже:

МетрическаяЦенитьОписание
Возможность использованияДоказательство концепцииДоказательство концепции, неавтоматический код предоставляется для демонстрации основных функций эксплойта.
Уровень исправленияНедоступенУ поставщика еще не было возможности предоставить смягчение или исправление.
Сообщить об уверенностиНеподтвержденныйОб уязвимости поступило ни разу

Это даст временной балл 7,3 с временным вектором E: P / RL: U / RC: UC (или полным вектором AV: N / AC: L / Au: N / C: P / I: P / A: C / E: P / RL: U / RC: UC).

Если затем поставщик подтверждает наличие уязвимости, оценка повышается до 8,1 с временным вектором E: P / RL: U / RC: C.

Временное исправление от поставщика снизит оценку до 7,3 (E: P / RL: T / RC: C), в то время как официальное исправление снизит его еще до 7,0 (E: P / RL: O / RC: C) . Поскольку невозможно быть уверенным в том, что каждая уязвимая система была исправлена ​​или исправлена, временная оценка не может снизиться ниже определенного уровня в зависимости от действий поставщика и может увеличиться, если будет разработан автоматический эксплойт для уязвимости.

Экологические показатели

Метрики окружающей среды используют базовую и текущую временную оценку для оценки серьезности уязвимости в контексте развертывания уязвимого продукта или программного обеспечения. Этот показатель рассчитывается субъективно, как правило, заинтересованными сторонами.

Возможность побочного ущерба

Показатель потенциального сопутствующего ущерба (CDP) измеряет потенциальные убытки или воздействие на физические активы, такие как оборудование (и жизни), или финансовые последствия для затронутой организации, если уязвимость будет использована.

ЦенитьОписаниеСчет
Нет (N)Отсутствие возможности потери собственности, дохода или производительности0
Низкий (L)Незначительный ущерб активам или незначительная потеря дохода или производительности0.1
Низкий-средний (LM)Умеренный ущерб или потеря0.3
Средне-высокий (MH)Значительный ущерб или потеря0.4
Высокий (H)Катастрофический ущерб или потеря0.5
Не определено (ND)Это сигнал игнорировать этот счет.0

Целевое распространение

Метрика целевого распределения (TD) измеряет долю уязвимых систем в среде.

ЦенитьОписаниеСчет
Нет (N)Целевых систем не существует, или они существуют только в лабораторных условиях.0
Низкий (L)1–25% систем в зоне риска0.25
Средний (M)26–75% систем подвержены риску0.75
Высокая (H)76–100% систем подвержены риску1.0
Не определено (ND)Это сигнал игнорировать этот счет.1.0

Модификатор оценки воздействия

Три дополнительных показателя оценивают особые требования безопасности для конфиденциальности (CR), целостности (IR) и доступности (AR), позволяя точно настроить оценку среды в соответствии с условиями среды пользователя.

ЦенитьОписаниеСчет
Низкий (L)Утрата (конфиденциальности / целостности / доступности), вероятно, будет иметь лишь ограниченное влияние на организацию.0.5
Средний (M)Утрата (конфиденциальности / целостности / доступности) может иметь серьезные последствия для организации.1.0
Высокая (H)Утрата (конфиденциальности / целостности / доступности) может иметь катастрофические последствия для организации.1.51
Не определено (ND)Это сигнал игнорировать этот счет.1.0

Расчеты

Пять экологических показателей используются вместе с ранее оцененными базовыми и временными показателями для расчета экологической оценки и создания соответствующего вектора окружающей среды.

Пример

Если вышеупомянутый уязвимый веб-сервер использовался банком для предоставления услуг онлайн-банкинга, а временное исправление было доступно от поставщика, то оценка состояния окружающей среды могла быть оценена как:

МетрическаяЦенитьОписание
Возможность побочного ущербаСредней высотыЭто значение будет зависеть от того, к какой информации злоумышленник сможет получить доступ в случае использования уязвимой системы. В этом случае я предполагаю, что доступна некоторая личная банковская информация, поэтому это оказывает значительное влияние на репутацию банка.
Целевое распространениеВысокоНа всех веб-серверах банка запущено уязвимое программное обеспечение.
Требование конфиденциальностиВысокоКлиенты ожидают, что их банковская информация будет конфиденциальной.
Требование честностиВысокоФинансовая и личная информация не может быть изменена без разрешения.
Требование доступностиНизкийОтсутствие услуг онлайн-банкинга скорее всего будет неудобством для клиентов, но не катастрофой.

Это дало бы экологический балл 8,2 и экологический вектор CDP: MH / TD: H / CR: H / IR: H / AR: L. Этот рейтинг находится в диапазоне 7,0–10,0 и, следовательно, представляет собой критическую уязвимость в контексте бизнеса затронутого банка.

Критика версии 2

Несколько поставщиков и организаций выразили недовольство CVSSv2.

Risk Based Security, которая управляет базой данных уязвимостей с открытым исходным кодом, и Open Security Foundation совместно опубликовали открытое письмо FIRST относительно недостатков и сбоев CVSSv2.[7] Авторы указали на отсутствие детализации в нескольких показателях, что приводит к векторам и оценкам CVSS, которые не позволяют должным образом различать уязвимости разных типов и профилей риска. Было также отмечено, что система оценки CVSS требует слишком много знаний о точном воздействии уязвимости.

Oracle представила новое значение метрики «Частичная +» для конфиденциальности, целостности и доступности, чтобы заполнить видимые пробелы в описании между частичным и полным в официальных спецификациях CVSS.[8]

Версия 3

Чтобы устранить некоторые из этих критических замечаний, в 2012 году была начата разработка CVSS версии 3. Окончательная спецификация была названа CVSS v3.0 и выпущена в июне 2015 года. В дополнение к документу спецификации были также выпущены руководство пользователя и документ с примерами.[9]

Были изменены, добавлены и удалены несколько показателей. Числовые формулы были обновлены для включения новых показателей при сохранении существующего диапазона оценок от 0 до 10. Оценка серьезности текста: Нет (0), Низкая (0,1–3,9), Средняя (4,0–6,9), Высокая (7,0–8,9) ​​и Критическая (9,0–10,0)[10] были определены аналогично категориям NVD, определенным для CVSS v2, которые не были частью этого стандарта.[11]

Отличия от версии 2

Базовые показатели

В базовом векторе были добавлены новые метрики «Взаимодействие с пользователем» (UI) и «Требуемые привилегии» (PR), чтобы помочь различать уязвимости, которые требуют взаимодействия с пользователем или использования прав пользователя или администратора. Ранее эти концепции были частью метрики «Вектор доступа» CVSSv2. В базовом векторе также была представлена ​​новая метрика Scope (S), которая была разработана, чтобы прояснить, какие уязвимости могут быть использованы, а затем использованы для атаки на другие части системы или сети. Эти новые показатели позволяют базовому вектору более четко выражать тип оцениваемой уязвимости.

Метрики Конфиденциальность, целостность и доступность (C, I, A) были обновлены и теперь имеют оценки, состоящие из «Нет», «Низкий» или «Высокий», а не «Нет», «Частично», «Полно» в CVSSv2. Это обеспечивает большую гибкость при определении воздействия уязвимости на показатели ЦРУ.

Сложность доступа была переименована в Сложность атаки (AC), чтобы было ясно, что права доступа были перенесены в отдельную метрику. Эта метрика теперь описывает, насколько повторяемым может быть использование этой уязвимости; AC имеет высокий уровень, если злоумышленнику требуется точное время или другие обстоятельства (кроме взаимодействия с пользователем, что также является отдельной метрикой), которые не могут быть легко воспроизведены при будущих попытках.

В вектор атаки (AV) было включено новое значение показателя Physical (P), чтобы описать уязвимости, которые требуют физического доступа к устройству или системе для работы.

Временные метрики

Временные метрики практически не изменились по сравнению с CVSSv2.

Экологические показатели

Метрики среды CVSSv2 были полностью удалены и заменены, по сути, второй базовой оценкой, известной как модифицированный вектор. Модифицированная база предназначена для отражения различий внутри организации или компании по сравнению с миром в целом. Были добавлены новые метрики, отражающие важность конфиденциальности, целостности и доступности для конкретной среды.

Критика версии 3

В сообщении в блоге в сентябре 2015 г. Координационный центр CERT обсудили ограничения CVSSv2 и CVSSv3.0 для использования при оценке уязвимостей в новых технологических системах, таких как Интернет вещей.[12]

Версия 3.1

Незначительное обновление для CVSS было выпущено 17 июня 2019 года. Целью CVSS версии 3.1 было прояснить и улучшить существующий стандарт CVSS версии 3.0 без введения новых метрик или значений метрик, что позволило без проблем принять новый стандарт обеими оценками. поставщиков и потребителей оценки. Удобство использования было основным соображением при внесении улучшений в стандарт CVSS. Несколько изменений, внесенных в CVSS v3.1, призваны улучшить ясность концепций, представленных в CVSS v3.0, и тем самым повысить общую простоту использования стандарта.

FIRST использовала мнения отраслевых экспертов для продолжения улучшения и улучшения CVSS, чтобы она была более применима к уязвимостям, продуктам и платформам, разрабатываемым в течение последних 15 лет и позже. Основная цель CVSS - предоставить детерминированный и повторяемый способ оценки серьезности уязвимости во многих различных группах, позволяя потребителям CVSS использовать эту оценку в качестве входных данных для более широкой матрицы принятия решений по рискам, устранению и смягчению последствий, специфичным для их особая среда и устойчивость к риску.

Обновления спецификации CVSS версии 3.1 включают уточнение определений и объяснение существующих базовых показателей, таких как вектор атаки, требуемые привилегии, объем и требования безопасности. Также был определен новый стандартный метод расширения CVSS, названный CVSS Extensions Framework, позволяющий провайдеру скоринга включать дополнительные метрики и группы метрик, сохраняя при этом официальные базовые, временные и экологические метрики. Дополнительные показатели позволяют таким отраслям, как конфиденциальность, безопасность, автомобилестроение, здравоохранение и т. Д., Оценивать факторы, выходящие за рамки основного стандарта CVSS. Наконец, Глоссарий терминов CVSS был расширен и уточнен, чтобы охватить все термины, используемые в документации CVSS версии 3.1.

Принятие

Версии CVSS были приняты в качестве основного метода количественной оценки серьезности уязвимостей широким кругом организаций и компаний, в том числе:

Смотрите также

Рекомендации

  1. ^ «Общая система оценки уязвимостей, обновление V3 Development». First.org, Inc. Получено 13 ноября, 2015.
  2. ^ "Архив CVSS v1". First.org, Inc. Получено 2015-11-15.
  3. ^ "История CVSS v2". First.org, Inc. Получено 2015-11-15.
  4. ^ «Представляем CVSS Special Interest Group для разработки CVSS v3». First.org, Inc. Архивировано с оригинал 17 февраля 2013 г.. Получено 2 марта, 2013.
  5. ^ «Общая система оценки уязвимостей, обновление V3 для разработки». First.org, Inc. Получено 13 ноября, 2015.
  6. ^ «Полная документация CVSS v2». First.org, Inc. Получено 2015-11-15.
  7. ^ «CVSS - недостатки, неисправности и отказы» (PDF). Безопасность на основе рисков. 2013-02-27. Получено 2015-11-15.
  8. ^ «Система подсчета очков CVSS». Oracle. 2010-06-01. Получено 2015-11-15.
  9. ^ "CVSS v3, .0 Документ спецификации". FIRST, Inc. Получено 2015-11-15.
  10. ^ «Общая система оценки уязвимостей версии 3.0: спецификация (качественная шкала оценки серьезности)». First.org. Получено 2016-01-10.
  11. ^ "Поддержка системы оценки общих уязвимостей NVD v2". Национальная база данных уязвимостей. Национальный институт стандартов и технологий. Получено 2 марта, 2013.
  12. ^ «CVSS и Интернет вещей». Координационный центр CERT. 2015-09-02. Получено 2015-11-15.
  13. ^ "Главная страница национальной базы данных уязвимостей". Nvd.nist.gov. Получено 2013-04-16.
  14. ^ «База данных уязвимостей с открытым исходным кодом». OSVDB. Получено 2013-04-16.
  15. ^ «Серьезность уязвимости при использовании CVSS». Координационный центр CERT. 2012-04-12. Получено 2015-11-15.

внешняя ссылка