Общая система оценки уязвимости - Common Vulnerability Scoring System

В Общая система оценки уязвимости (CVSS) является бесплатным и открыто промышленный стандарт для оценки степени тяжести безопасность компьютерной системы уязвимости. CVSS пытается присвоить степени серьезности уязвимостям, позволяя респондентам определять приоритеты ответов и ресурсов в соответствии с угрозой. Баллы рассчитываются по формуле, которая зависит от нескольких метрики это приблизительная простота использования и влияние эксплойта. Оценки варьируются от 0 до 10, причем 10 - наиболее серьезное заболевание. Хотя многие используют только базовый балл CVSS для определения серьезности, также существуют временные баллы и баллы по окружающей среде, чтобы учесть доступность смягчающих мер и степень распространения уязвимых систем в организации, соответственно.

Текущая версия CVSS (CVSSv3.1) была выпущена в июне 2019 года.^[1]

История

Исследования Национальный консультативный совет по инфраструктуре (NIAC) в 2003/2004 г. привела к запуску CVSS версии 1 (CVSSv1) в феврале 2005 г., цель которой - «обеспечивать открытые и универсально стандартные оценки серьезности уязвимостей программного обеспечения». Этот первоначальный проект не подвергался экспертной оценке или рецензированию другими организациями. В апреле 2005 года NIAC выбрал Форум групп реагирования на инциденты и безопасности (ПЕРВЫЙ ), чтобы стать хранителем CVSS для будущего развития.^[2]

Отзывы от поставщиков, использующих CVSSv1 в производстве, говорят о «существенных проблемах с первоначальным проектом CVSS». Работа над CVSS версии 2 (CVSSv2) началась в апреле 2005 г., а окончательная спецификация была выпущена в июне 2007 г.^[3]

Дальнейшие отзывы привели к началу работы над CVSS версии 3.^[4] в 2012 году, закончившись выпуском CVSSv3.0 в июне 2015 года.^[5]

Терминология

Оценка CVSS измеряет три проблемных области:

Базовые метрики для качеств, присущих уязвимости
Временные метрики для характеристик, которые развиваются за время существования уязвимости
Параметры среды для уязвимостей, зависящих от конкретной реализации или среды

Для каждой из этих групп показателей создается числовая оценка. Векторная строка (или просто «вектор» в CVSSv2) представляет значения всех показателей в виде блока текста.

Версия 2

Полная документация по CVSSv2 доступна на сайте FIRST.^[6] Резюме представлено ниже.

Базовые показатели

Вектор доступа

Вектор доступа (AV) показывает, как можно использовать уязвимость.

Ценить	Описание	Счет
Местный (L)	Злоумышленник должен иметь физический доступ к уязвимой системе (например, Firewire атаки ) или локальный аккаунт (например, повышение привилегий атака).	0.395
Смежная сеть (A)	Злоумышленник должен иметь доступ к широковещательному домену или домену конфликтов уязвимой системы (например, Подмена ARP, Bluetooth-атаки).	0.646
Сеть (N)	Уязвимый интерфейс работает на уровне 3 или выше сетевого стека OSI. Эти типы уязвимостей часто описываются как уязвимости, которые можно использовать удаленно (например, удаленное переполнение буфера в сетевой службе).	1.0

Сложность доступа

Метрика сложности доступа (AC) описывает, насколько легко или сложно использовать обнаруженную уязвимость.

Ценить	Описание	Счет
Высокий (H)	Существуют специальные условия, такие как состояние гонки с узким окном или требованием социальная инженерия методы, которые легко заметят знающие люди.	0.35
Средний (M)	Для атаки существуют некоторые дополнительные требования, такие как ограничение источника атаки или требование, чтобы уязвимая система работала с необычной конфигурацией, отличной от стандартной.	0.61
Низкий (L)	Не существует особых условий для использования уязвимости, например, когда система доступна большому количеству пользователей или когда уязвимая конфигурация является повсеместной.	0.71

Аутентификация

Метрика аутентификации (Au) описывает, сколько раз злоумышленник должен пройти аутентификацию на цели, чтобы воспользоваться ею. Он не включает (например) аутентификацию в сети для получения доступа. Для уязвимостей, которые можно использовать локально, это значение должно быть установлено на Single или Multiple, только если после первоначального доступа требуется дополнительная аутентификация.

Ценить	Описание	Счет
Множественный (M)	Для эксплуатации уязвимости злоумышленник должен пройти аутентификацию два или более раз, даже если каждый раз используются одни и те же учетные данные.	0.45
Одноместный (S)	Злоумышленник должен пройти аутентификацию один раз, чтобы воспользоваться уязвимостью.	0.56
Нет (N)	Злоумышленник не требует аутентификации.	0.704

Показатели воздействия

Конфиденциальность

Показатель конфиденциальности (C) описывает влияние на конфиденциальность данных, обрабатываемых системой.

Ценить	Описание	Счет
Нет (N)	Это не влияет на конфиденциальность системы.	0.0
Частично (P)	Информация широко раскрывается, но объем потерь ограничен, поэтому не все данные доступны.	0.275
Завершено (C)	Полное раскрытие информации, обеспечивающее доступ к любым / всем данным в системе. В качестве альтернативы предоставляется доступ только к некоторой информации ограниченного доступа, но раскрытая информация оказывает прямое серьезное влияние.	0.660

Честность

Показатель целостности (I) описывает влияние на целостность эксплуатируемой системы.

Ценить	Описание	Счет
Нет (N)	Не влияет на целостность системы.	0.0
Частично (P)	Возможно изменение некоторых данных или системных файлов, но объем изменения ограничен.	0.275
Завершено (C)	Полная потеря целостности; злоумышленник может изменить любые файлы или информацию в целевой системе.	0.660

Доступность

Показатель доступности (A) описывает влияние на доступность целевой системы. Атаки, которые потребляют пропускную способность сети, циклы процессора, память или любые другие ресурсы, влияют на доступность системы.

Ценить	Описание	Счет
Нет (N)	Это не влияет на доступность системы.	0.0
Частично (P)	Происходит снижение производительности или потеря некоторых функций.	0.275
Завершено (C)	Полная потеря доступности атакованного ресурса.	0.660

Расчеты

Эти шесть показателей используются для расчета баллов для использования и воздействия уязвимости. Эти промежуточные баллы используются для расчета общей базовой оценки.

${displaystyle {extsf {Exploitability}} = 20 секунд {extsf {AccessVector}} времени {extsf {AttackComplexity}} времени {extsf {Authentication}}}$

${displaystyle {extsf {Impact}} = 10,41 imes (1- (1- {extsf {ConfImpact}}) imes (1- {extsf {IntegImpact}}) imes (1- {extsf {AvailImpact}}))}$

${displaystyle f ({extsf {Impact}}) = {egin {case} 0, & {ext {if}} {extsf {Impact}} {ext {= 0}} 1.176, & {ext {else}} end {случаи}}}$

${displaystyle {extsf {BaseScore}} = {extsf {roundTo1Decimal}} (((0,6 imes {extsf {Impact}}) + (0,4 imes {extsf {Exploitability}}) - 1,5) imes f ({extsf {Impact}} ))}$

Метрики объединяются для создания вектора CVSS для уязвимости.

Пример

Уязвимость, связанная с переполнением буфера, затрагивает программное обеспечение веб-сервера, которое позволяет удаленному пользователю получить частичный контроль над системой, включая возможность ее выключения:

Метрическая	Ценить	Описание
Вектор доступа	Сеть	Доступ к уязвимости можно получить из любой сети, которая может получить доступ к целевой системе - как правило, через весь Интернет.
Сложность доступа	Низкий	Особых требований к доступу нет
Аутентификация	Никто	Для использования уязвимости аутентификация не требуется.
Конфиденциальность	Частичное	Злоумышленник может читать некоторые файлы и данные в системе.
Честность	Частичное	Злоумышленник может изменить некоторые файлы и данные в системе.
Доступность	Полный	Злоумышленник может привести к тому, что система и веб-служба станут недоступны / не отвечают, выключив систему.

Это даст промежуточную оценку уязвимости 10 и промежуточную оценку воздействия 8,5, что даст общую базовую оценку 9,0. Вектор для базовой оценки в этом случае будет AV: N / AC: L / Au: N / C: P / I: P / A: C. Оценка и вектор обычно представлены вместе, чтобы получатель мог полностью понять природу уязвимости и при необходимости рассчитать свой собственный экологический балл.

Временные метрики

Ценность временных метрик меняется в течение срока действия уязвимости по мере разработки, раскрытия и автоматизации эксплойтов, а также по мере появления средств защиты и исправлений.

Возможность использования

Показатель пригодности к эксплуатации (E) описывает текущее состояние методов эксплуатации или автоматизированного кода эксплуатации.

Ценить	Описание	Счет
Недоказано (U)	Код эксплойта недоступен, или эксплойт является теоретическим	0.85
Доказательство концепции (P)	Доступны проверочный код эксплойта или демонстрационные атаки, но они не подходят для широкого использования. Не работает против всех экземпляров уязвимости.	0.9
Функциональный (F)	Функциональный код эксплойта доступен и работает в большинстве ситуаций, в которых присутствует уязвимость.	0.95
Высокий (H)	Уязвимость может использоваться автоматическим кодом, включая мобильный код (например, червь или вирус).	1.0
Не определено (ND)	Это сигнал игнорировать этот счет.	1.0

Уровень исправления

Уровень исправления (RL) уязвимости позволяет уменьшать временную оценку уязвимости по мере появления средств смягчения и официальных исправлений.

Ценить	Описание	Счет
Официальное исправление (O)	Доступно полное решение от поставщика - либо исправление, либо обновление.	0.87
Временное исправление (T)	У поставщика есть официальное, но временное исправление / смягчение последствий.	0.90
Обходной путь (клавиша W)	Доступно неофициальное решение или средство защиты от сторонних поставщиков, которое может быть разработано или предложено пользователями затронутого продукта или другой третьей стороной.	0.95
Недоступно (U)	Доступного решения нет или невозможно применить предложенное решение. Это обычное начальное состояние уровня исправления при обнаружении уязвимости.	1.0
Не определено (ND)	Это сигнал игнорировать этот счет.	1.0

Сообщить об уверенности

Отчет о достоверности (RC) уязвимости измеряет уровень уверенности в существовании уязвимости, а также достоверность технических деталей уязвимости.

Ценить	Описание	Счет
Не подтверждено (UC)	Один неподтвержденный источник или несколько конфликтующих источников. По слухам, уязвимость.	0.9
Неподтвержденный (UR)	Множество источников, которые в целом согласны - может существовать определенный уровень неопределенности в отношении уязвимости	0.95
Подтверждено (C)	Подтверждено и подтверждено поставщиком или производителем затронутого продукта.	1.0
Не определено (ND)	Это сигнал игнорировать этот счет.	1.0

Расчеты

Эти три показателя используются вместе с базовой оценкой, которая уже была рассчитана для получения временной оценки уязвимости с соответствующим вектором.

Формула, используемая для расчета временной оценки:

${displaystyle {extsf {TemporalScore}} = {extsf {roundTo1Decimal}} ({extsf {BaseScore}} imes {extsf {Exploitability}} imes {extsf {RemediationLevel}} imes {extsf {ReportConfidence}})}$

Пример

Чтобы продолжить приведенный выше пример, если поставщик был впервые проинформирован об уязвимости путем публикации кода подтверждения концепции в списке рассылки, начальная временная оценка будет рассчитана с использованием значений, показанных ниже:

Метрическая	Ценить	Описание
Возможность использования	Доказательство концепции	Доказательство концепции, неавтоматический код предоставляется для демонстрации основных функций эксплойта.
Уровень исправления	Недоступен	У поставщика еще не было возможности предоставить смягчение или исправление.
Сообщить об уверенности	Неподтвержденный	Об уязвимости поступило ни разу

Это даст временной балл 7,3 с временным вектором E: P / RL: U / RC: UC (или полным вектором AV: N / AC: L / Au: N / C: P / I: P / A: C / E: P / RL: U / RC: UC).

Если затем поставщик подтверждает наличие уязвимости, оценка повышается до 8,1 с временным вектором E: P / RL: U / RC: C.

Временное исправление от поставщика снизит оценку до 7,3 (E: P / RL: T / RC: C), в то время как официальное исправление снизит его еще до 7,0 (E: P / RL: O / RC: C) . Поскольку невозможно быть уверенным в том, что каждая уязвимая система была исправлена или исправлена, временная оценка не может снизиться ниже определенного уровня в зависимости от действий поставщика и может увеличиться, если будет разработан автоматический эксплойт для уязвимости.

Экологические показатели

Метрики окружающей среды используют базовую и текущую временную оценку для оценки серьезности уязвимости в контексте развертывания уязвимого продукта или программного обеспечения. Этот показатель рассчитывается субъективно, как правило, заинтересованными сторонами.

Возможность побочного ущерба

Показатель потенциального сопутствующего ущерба (CDP) измеряет потенциальные убытки или воздействие на физические активы, такие как оборудование (и жизни), или финансовые последствия для затронутой организации, если уязвимость будет использована.

Ценить	Описание	Счет
Нет (N)	Отсутствие возможности потери собственности, дохода или производительности	0
Низкий (L)	Незначительный ущерб активам или незначительная потеря дохода или производительности	0.1
Низкий-средний (LM)	Умеренный ущерб или потеря	0.3
Средне-высокий (MH)	Значительный ущерб или потеря	0.4
Высокий (H)	Катастрофический ущерб или потеря	0.5
Не определено (ND)	Это сигнал игнорировать этот счет.	0

Целевое распространение

Метрика целевого распределения (TD) измеряет долю уязвимых систем в среде.

Ценить	Описание	Счет
Нет (N)	Целевых систем не существует, или они существуют только в лабораторных условиях.	0
Низкий (L)	1–25% систем в зоне риска	0.25
Средний (M)	26–75% систем подвержены риску	0.75
Высокая (H)	76–100% систем подвержены риску	1.0
Не определено (ND)	Это сигнал игнорировать этот счет.	1.0

Модификатор оценки воздействия

Три дополнительных показателя оценивают особые требования безопасности для конфиденциальности (CR), целостности (IR) и доступности (AR), позволяя точно настроить оценку среды в соответствии с условиями среды пользователя.

Ценить	Описание	Счет
Низкий (L)	Утрата (конфиденциальности / целостности / доступности), вероятно, будет иметь лишь ограниченное влияние на организацию.	0.5
Средний (M)	Утрата (конфиденциальности / целостности / доступности) может иметь серьезные последствия для организации.	1.0
Высокая (H)	Утрата (конфиденциальности / целостности / доступности) может иметь катастрофические последствия для организации.	1.51
Не определено (ND)	Это сигнал игнорировать этот счет.	1.0

Расчеты

Пять экологических показателей используются вместе с ранее оцененными базовыми и временными показателями для расчета экологической оценки и создания соответствующего вектора окружающей среды.

${displaystyle {extsf {AdjustedImpact}} = min (10,10.41 imes (1- (1- {extsf {ConfImpact}} imes {extsf {ConfReq}}) imes (1- {extsf {IntegImpact}} imes {extsf {IntegReq) }}) imes (1- {extsf {AvailImpact}} imes {extsf {AvailReq}})))}$

${displaystyle {extsf {AdjustedTemporal}} = {extsf {TemporalScore}} {ext {пересчитано с помощью}} {extsf {BaseScore}} {ext {s}} {extsf {Impact}} {ext {подуравнение заменено на }} {extsf {AdjustImpact}} {ext {уравнение}}}$

${displaystyle {extsf {EnvironmentalScore}} = {extsf {roundTo1Decimal}} (({extsf {AdjustedTemporal}} + (10- {extsf {AdjustedTemporal}}) imes {extsf {CollateralDamagePotential}}) imes {extsf {TargetDistribution}}) }$

Пример

Если вышеупомянутый уязвимый веб-сервер использовался банком для предоставления услуг онлайн-банкинга, а временное исправление было доступно от поставщика, то оценка состояния окружающей среды могла быть оценена как:

Метрическая	Ценить	Описание
Возможность побочного ущерба	Средней высоты	Это значение будет зависеть от того, к какой информации злоумышленник сможет получить доступ в случае использования уязвимой системы. В этом случае я предполагаю, что доступна некоторая личная банковская информация, поэтому это оказывает значительное влияние на репутацию банка.
Целевое распространение	Высоко	На всех веб-серверах банка запущено уязвимое программное обеспечение.
Требование конфиденциальности	Высоко	Клиенты ожидают, что их банковская информация будет конфиденциальной.
Требование честности	Высоко	Финансовая и личная информация не может быть изменена без разрешения.
Требование доступности	Низкий	Отсутствие услуг онлайн-банкинга скорее всего будет неудобством для клиентов, но не катастрофой.

Это дало бы экологический балл 8,2 и экологический вектор CDP: MH / TD: H / CR: H / IR: H / AR: L. Этот рейтинг находится в диапазоне 7,0–10,0 и, следовательно, представляет собой критическую уязвимость в контексте бизнеса затронутого банка.

Критика версии 2

Несколько поставщиков и организаций выразили недовольство CVSSv2.

Risk Based Security, которая управляет базой данных уязвимостей с открытым исходным кодом, и Open Security Foundation совместно опубликовали открытое письмо FIRST относительно недостатков и сбоев CVSSv2.^[7] Авторы указали на отсутствие детализации в нескольких показателях, что приводит к векторам и оценкам CVSS, которые не позволяют должным образом различать уязвимости разных типов и профилей риска. Было также отмечено, что система оценки CVSS требует слишком много знаний о точном воздействии уязвимости.

Oracle представила новое значение метрики «Частичная +» для конфиденциальности, целостности и доступности, чтобы заполнить видимые пробелы в описании между частичным и полным в официальных спецификациях CVSS.^[8]

Версия 3

Чтобы устранить некоторые из этих критических замечаний, в 2012 году была начата разработка CVSS версии 3. Окончательная спецификация была названа CVSS v3.0 и выпущена в июне 2015 года. В дополнение к документу спецификации были также выпущены руководство пользователя и документ с примерами.^[9]

Были изменены, добавлены и удалены несколько показателей. Числовые формулы были обновлены для включения новых показателей при сохранении существующего диапазона оценок от 0 до 10. Оценка серьезности текста: Нет (0), Низкая (0,1–3,9), Средняя (4,0–6,9), Высокая (7,0–8,9) и Критическая (9,0–10,0)^[10] были определены аналогично категориям NVD, определенным для CVSS v2, которые не были частью этого стандарта.^[11]