Umumiy zaifliklarni baholash tizimi - Common Vulnerability Scoring System

The Umumiy zaifliklarni baholash tizimi (CVSS) bepul va ochiq sanoat standarti zo'ravonligini baholash uchun kompyuter tizimining xavfsizligi zaifliklar. CVSS zaifliklarga zo'ravonlik ballarini berishga urinib ko'rmoqda, bu esa javob beruvchilarga tahdidga muvofiq javoblar va manbalarni birinchi o'ringa qo'yishga imkon beradi. Ballar bir nechtasiga bog'liq bo'lgan formula asosida hisoblanadi ko'rsatkichlar ekspluatatsiya qilishning taxminiy qulayligi va ekspluatatsiya ta'siri. Ballar 0 dan 10 gacha, 10 eng og'ir hisoblanadi. Zo'ravonlik darajasini aniqlash uchun ko'pchilik faqat CVSS Base-dan foydalangan bo'lsa-da, vaqtinchalik va atrof-muhit ko'rsatkichlari mavjud bo'lib, ular yumshatilishlarning mavjudligini va mos ravishda zaif tizimlarning tashkilot ichida qanchalik keng tarqalganligini aniqlash uchun.

CVSS (CVSSv3.1) ning amaldagi versiyasi 2019 yil iyun oyida chiqdi.^[1]

Tarix

Tomonidan olib borilgan tadqiqotlar Milliy infratuzilma bo'yicha maslahat kengashi (NIAC) 2003/2004 yillarda "dasturiy ta'minot zaifliklarining ochiq va universal standart darajadagi zo'ravonlik darajasini ta'minlash uchun ishlab chiqilgan" maqsadi bilan 2005 yil fevral oyida CVSS 1 versiyasini (CVSSv1) ishga tushirishga olib keldi. Ushbu dastlabki loyiha boshqa tashkilotlarning ekspertizasi yoki tekshiruvidan o'tkazilmagan. 2005 yil aprel oyida NIAC Hodisalarga javob berish va xavfsizlik bo'yicha jamoalar forumini tanladi (BIRINChI ) kelajakdagi rivojlanish uchun CVSS-ning homiysi bo'lish.^[2]

CVSSv1-ni ishlab chiqarishda ishlatadigan sotuvchilarning fikr-mulohazalari "CVSS-ning dastlabki loyihasi bilan bog'liq muhim muammolar" mavjudligini ko'rsatdi. CVSS 2-versiyasi (CVSSv2) ustida ishlash 2005 yil aprel oyida yakuniy spetsifikatsiya 2007 yil iyun oyida ishga tushirilishi bilan boshlandi.^[3]

Qo'shimcha mulohazalar CVSS 3-versiyasida ish boshlanishiga olib keldi^[4] 2012 yilda, 2015 yil iyun oyida chiqarilgan CVSSv3.0 bilan tugaydi.^[5]

Terminologiya

CVSS baholash quyidagi uchta masalani ko'rib chiqadi:

Zaiflikka xos bo'lgan fazilatlar uchun asosiy ko'rsatkichlar
Zaiflikning butun umri davomida rivojlanib boradigan xususiyatlar uchun vaqtinchalik ko'rsatkichlar
Muayyan dastur yoki atrof-muhitga bog'liq bo'lgan zaifliklar uchun atrof-muhit ko'rsatkichlari

Ushbu metrik guruhlarning har biri uchun raqamli ball hosil qilinadi. Vektorli satr (yoki shunchaki CVSSv2 da "vektor"), barcha metrikalarning qiymatlarini matn bloki sifatida ifodalaydi.

2-versiya

CVSSv2 uchun to'liq hujjatlarni BIRINChIDAN olishingiz mumkin.^[6] Xulosa quyida keltirilgan.

Asosiy ko'rsatkichlar

Vektorga kirish

Kirish vektori (AV) zaiflikdan qanday foydalanish mumkinligini ko'rsatadi.

Qiymat	Tavsif	Xol
Mahalliy (L)	Tajovuzkor zaif tizimga jismoniy kirish huquqiga ega bo'lishi kerak (masalan.) firewire hujumlari ) yoki mahalliy hisob qaydnomasi (masalan, a imtiyozlarning kuchayishi hujum).	0.395
Qo'shni tarmoq (A)	Tajovuzkor zaif tizimning translyatsiya yoki to'qnashuv domeniga kirish huquqiga ega bo'lishi kerak (masalan.) ARP firibgarligi, Bluetooth hujumlari).	0.646
Tarmoq (N)	Zaif interfeys OSI Network stackining 3 yoki undan yuqori qismida ishlaydi. Ushbu turdagi zaifliklar ko'pincha uzoqdan foydalanishga yaroqli deb ta'riflanadi (masalan, tarmoq xizmatidagi masofaviy bufer to'lib toshishi)	1.0

Kirish murakkabligi

Kirishning murakkabligi (AC) ko'rsatkichi aniqlangan zaiflikdan foydalanish qanchalik oson yoki qiyinligini tavsiflaydi.

Qiymat	Tavsif	Xol
Baland (H)	Kabi ixtisoslashgan sharoitlar mavjud, masalan poyga holati tor deraza bilan yoki uchun talab ijtimoiy muhandislik bilimdon odamlar tomonidan osonlikcha sezilib turadigan usullar.	0.35
O'rtacha (M)	Hujum uchun ba'zi bir qo'shimcha talablar mavjud, masalan, hujumning kelib chiqishi chegarasi yoki zaif tizim uchun odatiy bo'lmagan, odatiy bo'lmagan konfiguratsiya bilan ishlash.	0.61
Past (L)	Zaiflikdan foydalanish uchun maxsus shartlar mavjud emas, masalan, tizim ko'p sonli foydalanuvchilar uchun mavjud bo'lganda yoki zaif konfiguratsiya hamma joyda mavjud bo'lganda.	0.71

Autentifikatsiya

Autentifikatsiya (Au) metrikasi, tajovuzkor undan foydalanish uchun maqsadga qancha marta tasdiqlanishi kerakligini tavsiflaydi. U kirish huquqini olish uchun (masalan) tarmoqqa autentifikatsiyani o'z ichiga olmaydi. Mahalliy ekspluatatsiya qilinadigan zaifliklar uchun ushbu qiymat faqat bitta kirish yoki ko'p martalik qiymatga o'rnatilishi kerak, agar dastlabki kirishdan keyin qo'shimcha autentifikatsiya zarur bo'lsa.

Qiymat	Tavsif	Xol
Bir nechta (M)	Zaiflikdan foydalanish, tajovuzkor tomonidan har safar bir xil hisob ma'lumotlaridan foydalanilgan bo'lsa ham, ikki yoki undan ortiq marta tasdiqlanishini talab qiladi.	0.45
Yagona (S)	Hujumchi zaiflikdan foydalanish uchun bir marta autentifikatsiya qilishi kerak.	0.56
Yo'q (N)	Hujumchining haqiqiyligini tasdiqlashi shart emas.	0.704

Ta'sir ko'rsatkichlari

Maxfiylik

Maxfiylik (C) metrikasi tizim tomonidan qayta ishlangan ma'lumotlarning maxfiyligiga ta'sirini tavsiflaydi.

Qiymat	Tavsif	Xol
Yo'q (N)	Tizimning maxfiyligiga hech qanday ta'sir ko'rsatmaydi.	0.0
Qisman (P)	Axborotni oshkor qilish bor, ammo yo'qotish doirasi cheklangan, chunki barcha ma'lumotlar mavjud emas.	0.275
To'ldirilgan (C)	Tizimdagi har qanday ma'lumotlarga kirishni ta'minlaydigan umumiy ma'lumotni oshkor qilish mavjud. Shu bilan bir qatorda, faqat ba'zi bir cheklangan ma'lumotlarga kirish olinadi, ammo oshkor qilingan ma'lumotlar to'g'ridan-to'g'ri va jiddiy ta'sir ko'rsatadi.	0.660

Halollik

Integrity (I) metrikasi ekspluatatsiya qilingan tizimning yaxlitligiga ta'sirini tavsiflaydi.

Qiymat	Tavsif	Xol
Yo'q (N)	Tizimning yaxlitligiga ta'sir qilmaydi.	0.0
Qisman (P)	Ba'zi ma'lumotlar yoki tizim fayllarini o'zgartirish mumkin, ammo o'zgartirish doirasi cheklangan.	0.275
To'ldirilgan (C)	Butunlay to'liq yo'qotish mavjud; tajovuzkor maqsadli tizimdagi har qanday fayllarni yoki ma'lumotlarni o'zgartirishi mumkin.	0.660

Mavjudligi

Mavjudlik (A) ko'rsatkichi maqsadli tizim mavjudligiga ta'sirini tavsiflaydi. Tarmoqning o'tkazuvchanligi, protsessor davrlari, xotira yoki boshqa manbalarni iste'mol qiladigan hujumlar tizimning mavjudligiga ta'sir qiladi.

Qiymat	Tavsif	Xol
Yo'q (N)	Tizimning mavjudligiga hech qanday ta'sir ko'rsatmaydi.	0.0
Qisman (P)	Ishlashning pasayishi yoki ba'zi funktsiyalarning yo'qolishi mavjud.	0.275
To'ldirilgan (C)	Hujum qilingan resursning to'liq yo'qolishi mavjud.	0.660

Hisob-kitoblar

Ushbu oltita ko'rsatkichlar ekspluatatsiyani hisoblash va zaiflikning pastki pog'onalarini ta'sir qilish uchun ishlatiladi. Ushbu quyi ballar umumiy tayanch balni hisoblash uchun ishlatiladi.

${displaystyle {extsf {Exploitability}} = 20 ta imes {extsf {AccessVector}} imes {extsf {AttackComplexity}} imes {extsf {Authentication}}}$

${displaystyle {extsf {Impact}} = 10.41 imes (1- (1- {extsf {ConfImpact}}) imes (1- {extsf {IntegImpact}}) imes (1- {extsf {AvailImpact}}))}$

${displaystyle f ({extsf {Impact}}) = {egin {case} 0, & {ext {if}} {extsf {Impact}} {ext {= 0}} 1.176, & {ext {aks holda}} end {holatlar}}}$

${displaystyle {extsf {BaseScore}} = {extsf {roundTo1Decimal}} (((0.6 imes {extsf {Impact}}) + (0.4 imes {extsf {Exploitability}}) - 1.5) imes f ({extsf {Impact}} ))}$

Ko'rsatkichlar zaiflik uchun CVSS Vektorini ishlab chiqarish uchun birlashtirilgan.

Misol

Buferning haddan tashqari zaifligi veb-server dasturiga ta'sir qiladi, bu masofaviy foydalanuvchiga tizimni qisman boshqarish imkoniyatini beradi, shu jumladan uni o'chirishga imkon beradi:

Metrik	Qiymat	Tavsif
Vektorga kirish	Tarmoq	Zaiflikka maqsadli tizimga kiradigan har qanday tarmoqdan kirish mumkin - odatda butun Internet
Kirish murakkabligi	Kam	Kirish uchun maxsus talablar yo'q
Autentifikatsiya	Yo'q	Zaiflikdan foydalanish uchun autentifikatsiya qilish shart emas
Maxfiylik	Qisman	Hujumchi tizimdagi ba'zi fayllar va ma'lumotlarni o'qishi mumkin
Halollik	Qisman	Tajovuzkor tizimdagi ba'zi fayllar va ma'lumotlarni o'zgartirishi mumkin
Mavjudligi	Bajarildi	Hujumchi tizimni o'chirib qo'yishi bilan tizim va veb-xizmat mavjud bo'lmasligi / javob bermasligi mumkin

Bu ekspluatatsiya uchun sub-skorni 10 ga va ta'sirning pastki balini 8,5 ga etkazib, umumiy bazaviy ballni 9,0 ga etkazadi, bu holda asosiy skor uchun vektor AV: N / AC: L / Au: N bo'ladi. / C: P / I: P / A: C. Bal va vektor odatda oluvchiga zaiflikning mohiyatini to'liq anglashi va agar kerak bo'lsa, o'zlarining atrof-muhit ko'rsatkichlarini hisoblashlari uchun taqdim etiladi.

Vaqtinchalik ko'rsatkichlar

Vaqtinchalik ko'rsatkichlarning qiymati zaiflik davrida o'zgaradi, chunki ekspluatatsiya ishlab chiqilgan, ochilgan va avtomatlashtirilgan va yumshatish va tuzatishlar mavjud bo'lgan.

Ekspluatatsiya

Ekspluatatsiya (E) metrikasi ekspluatatsiya qilish texnikasining yoki avtomatlashtirilgan ekspluatatsiya kodining hozirgi holatini tavsiflaydi.

Qiymat	Tavsif	Xol
Tasdiqlanmagan (U)	Ekspluatatsiya kodi mavjud emas yoki ekspluatatsiya nazariy jihatdan mavjud	0.85
Kontseptsiyaning isboti (P)	Kontseptsiyani tasdiqlovchi ekspluatatsiya kodi yoki namoyish hujumlari mavjud, ammo keng foydalanish uchun amaliy emas. Zaiflikning barcha holatlariga qarshi ishlamaydi.	0.9
Funktsional (F)	Funktsional ekspluatatsiya kodi mavjud va zaiflik mavjud bo'lgan ko'p hollarda ishlaydi.	0.95
Baland (H)	Zaiflikdan avtomatlashtirilgan kod, shu jumladan mobil kod (masalan, qurt yoki virus) foydalanishi mumkin.	1.0
Belgilanmagan (SH)	Bu ushbu balni e'tiborsiz qoldirish uchun signaldir.	1.0

Qayta tiklash darajasi

Zaiflikning tiklanish darajasi (RL) zaiflashuvlar va rasmiy tuzatishlar mavjud bo'lganda zaiflikning vaqtinchalik balini kamaytirishga imkon beradi.

Qiymat	Tavsif	Xol
Rasmiy tuzatish (O)	To'liq sotuvchi echimi mavjud - yamoq yoki yangilanish.	0.87
Vaqtinchalik tuzatish (T)	Sotuvchidan rasmiy, ammo vaqtincha tuzatish / yumshatish mavjud.	0.90
Vaqtinchalik echim (V)	Rasmiy bo'lmagan, sotuvchiga tegishli bo'lmagan echim yoki yumshatilish mavjud - ehtimol ta'sirlangan mahsulot foydalanuvchilari yoki boshqa uchinchi tomon tomonidan ishlab chiqilgan yoki taklif qilingan.	0.95
Mavjud emas (U)	Mavjud echim yo'q yoki taklif qilingan echimni qo'llash imkonsiz. Zaiflik aniqlanganda bu tuzatish darajasining odatiy boshlang'ich holati.	1.0
Belgilanmagan (SH)	Bu ushbu balni e'tiborsiz qoldirish uchun signaldir.	1.0

Ishonch haqida xabar bering

Zaiflikning hisobotga ishonchliligi (RC) zaiflikning mavjudligiga bo'lgan ishonch darajasini va zaiflikning texnik tafsilotlari ishonchliligini o'lchaydi.

Qiymat	Tavsif	Xol
Tasdiqlanmagan (UC)	Yagona tasdiqlanmagan manba yoki bir nechta qarama-qarshi manbalar. Mish-mishlarning zaifligi.	0.9
Tasdiqlanmagan (UR)	Keng ma'noda bir nechta manbalar - zaiflik to'g'risida noaniqlik darajasi saqlanib qolishi mumkin	0.95
Tasdiqlangan (C)	Ta'sir qilingan mahsulot sotuvchisi yoki ishlab chiqaruvchisi tomonidan tan olingan va tasdiqlangan.	1.0
Belgilanmagan (SH)	Bu ushbu balni e'tiborsiz qoldirish uchun signaldir.	1.0

Hisob-kitoblar

Ushbu uchta ko'rsatkich allaqachon bog'liq bo'lgan vektor bilan zaiflik uchun vaqtinchalik balni ishlab chiqarish uchun hisoblab chiqilgan asosiy ko'rsatkich bilan birgalikda qo'llaniladi.

Vaqtinchalik balni hisoblash uchun ishlatiladigan formula:

${displaystyle {extsf {TemporalScore}} = {extsf {roundTo1Decimal}} ({extsf {BaseScore}} imes {extsf {Exploitability}} imes {extsf {RemediationLevel}} imes {extsf {ReportConfidence}})}$

Misol

Yuqoridagi misolni davom ettirish uchun, agar sotuvchiga zaiflik to'g'risida birinchi marta tushunchasini tasdiqlovchi kodni pochta jo'natmalariga yuborish orqali xabar bergan bo'lsa, dastlabki vaqtinchalik bal quyida ko'rsatilgan qiymatlar yordamida hisoblanadi:

Metrik	Qiymat	Tavsif
Ekspluatatsiya	Kontseptsiyaning isboti	Kontseptsiyaning isboti, avtomatlashtirilmagan kod asosiy ekspluatatsiya funktsiyalarini ko'rsatish uchun taqdim etilgan.
Qayta tiklash darajasi	Mavjud emas	Sotuvchi hali yumshatish yoki tuzatish uchun imkoniyatga ega emas.
Ishonch haqida xabar bering	Tasdiqlanmagan	Zaiflik haqida bitta hisobot mavjud

Bu vaqtinchalik vektor E: P / RL: U / RC: UC (yoki AV: N / AC: L / Au: N / C: P / I: P ning vaqt vektori bilan vaqtinchalik ballni beradi). / A: C / E: P / RL: U / RC: UC).

Agar sotuvchi ushbu zaiflikni tasdiqlasa, bal 8.1 ga ko'tariladi, vaqtinchalik vektor E: P / RL: U / RC: C

Sotuvchidan vaqtincha tuzatish hisobni 7.3 (E: P / RL: T / RC: C) ga kamaytiradi, rasmiy tuzatish esa 7.0 (E: P / RL: O / RC: C) ga kamaytiradi. . Ta'sir qilingan har bir tizimning tuzatilganiga yoki yamalganiga ishonch hosil qilishning iloji yo'qligi sababli, vaqtinchalik ball sotuvchining harakatlariga qarab ma'lum darajadan pastga tushishi mumkin emas va agar ushbu zaiflik uchun avtomatlashtirilgan ekspluatatsiya ishlab chiqilgan bo'lsa, ko'payishi mumkin.

Atrof-muhit ko'rsatkichlari

Atrof-muhit ko'rsatkichlari zaiflik mahsulotini yoki dasturiy ta'minotini joylashtirish kontekstida zaiflikning og'irligini baholash uchun asosiy va joriy vaqt balidan foydalanadi. Ushbu chora sub'ektiv ravishda, odatda ta'sirlangan tomonlar tomonidan hisoblanadi.

Garovga zarar etkazish ehtimoli

Garovga qo'yiladigan zararning potentsiali (CDP) metrikasi, asbob-uskunalar (va hayoti) kabi jismoniy aktivlarga mumkin bo'lgan yo'qotish yoki ta'sirni yoki ushbu zaiflikdan foydalanilgan taqdirda zarar ko'rgan tashkilotga moliyaviy ta'sirni o'lchaydi.

Qiymat	Tavsif	Xol
Yo'q (N)	Mulk, daromad yoki mahsuldorlikni yo'qotish ehtimoli yo'q	0
Past (L)	Aktivlarga ozgina zarar etkazilishi yoki daromad yoki mahsuldorlikning ozgina yo'qotilishi	0.1
Past-o'rtacha (LM)	O'rtacha zarar yoki yo'qotish	0.3
O'rta yuqori (MH)	Muhim zarar yoki yo'qotish	0.4
Baland (H)	Katastrofik zarar yoki yo'qotish	0.5
Belgilanmagan (SH)	Bu ushbu balni e'tiborsiz qoldirish uchun signaldir.	0

Maqsadli tarqatish

Maqsadli tarqatish (TD) ko'rsatkichi atrof-muhitdagi zaif tizimlarning ulushini o'lchaydi.

Qiymat	Tavsif	Xol
Yo'q (N)	Hech qanday maqsadli tizim mavjud emas yoki ular faqat laboratoriya sharoitida mavjud	0
Past (L)	Xavf ostida bo'lgan tizimlarning 1-25%	0.25
O'rtacha (M)	Xavf ostida bo'lgan tizimlarning 26-75%	0.75
Baland (H)	76-100% xavf ostida bo'lgan tizimlar	1.0
Belgilanmagan (SH)	Bu ushbu balni e'tiborsiz qoldirish uchun signaldir.	1.0

Impact Subscore modifikatori

Uchta qo'shimcha ko'rsatkichlar maxfiylik (CR), yaxlitlik (IR) va mavjudlik (AR) uchun xavfsizlik talablarini baholaydi, bu esa atrof-muhit ballarini foydalanuvchilar muhitiga mos ravishda sozlash imkonini beradi.

Qiymat	Tavsif	Xol
Past (L)	Yo'qotish (maxfiylik / yaxlitlik / mavjudlik) tashkilotga faqat cheklangan ta'sir ko'rsatishi mumkin.	0.5
O'rtacha (M)	Yo'qotish (maxfiylik / yaxlitlik / mavjudlik) tashkilotga jiddiy ta'sir ko'rsatishi mumkin.	1.0
Baland (H)	Yo'qotish (maxfiylik / yaxlitlik / mavjudlik) tashkilotga halokatli ta'sir ko'rsatishi mumkin.	1.51
Belgilanmagan (SH)	Bu ushbu balni e'tiborsiz qoldirish uchun signaldir.	1.0

Hisob-kitoblar

Beshta atrof-muhit ko'rsatkichlari atrof-muhit balini hisoblash va tegishli atrof-muhit vektorini ishlab chiqarish uchun ilgari baholangan tayanch va vaqt ko'rsatkichlari bilan birgalikda qo'llaniladi.

${displaystyle {extsf {AdjustedImpact}} = min (10,10.41 imes (1- (1- {extsf {ConfImpact}} imes {extsf {ConfReq}}) imes (1- {extsf {IntegImpact}} imes {extsf {IntegReq }}) imes (1- {extsf {AvailImpact}} imes {extsf {AvailReq}})))}$

${displaystyle {extsf {AdjustedTemporal}} = {extsf {TemporalScore}} {ext {bilan hisoblangan}} {extsf {BaseScore}} {ext {s}} {extsf {Impact}} {ext {sub-tenglama }} {extsf {AdjustedImpact}} {ext {equation}}}$

${displaystyle {extsf {EnvironmentalScore}} = {extsf {roundTo1Decimal}} (({extsf {AdjustedTemporal}} + (10- {extsf {AdjustedTemporal}}) imes {extsf {CollateralDamagePotential}}) imes {extsf {TargetDistribution}} }$

Misol

Agar yuqorida aytib o'tilgan zaif veb-server bank tomonidan onlayn bank xizmatlarini ko'rsatish uchun foydalangan bo'lsa va sotuvchidan vaqtincha tuzatish mavjud bo'lsa, u holda atrof-muhit ballari quyidagicha baholanishi mumkin edi:

Metrik	Qiymat	Tavsif
Garovga zarar etkazish ehtimoli	O'rta-baland	Ushbu qiymat, zaif tizim ishlatilsa, tajovuzkor qanday ma'lumotlarga ega bo'lishiga bog'liq bo'ladi. Bunday holda, men shaxsiy bank ma'lumotlari mavjud deb o'ylayman, shuning uchun bankka obro'-e'tibor ta'sir qiladi.
Maqsadli tarqatish	Yuqori	Bankning barcha veb-serverlari himoyasiz dasturiy ta'minot bilan ishlaydi.
Maxfiylik talablari	Yuqori	Mijozlar o'zlarining bank ma'lumotlari maxfiy bo'lishini kutishadi.
Halollik talablari	Yuqori	Moliyaviy va shaxsiy ma'lumotlar avtorizatsiz o'zgarishi mumkin emas.
Mavjudligi to'g'risidagi talab	Kam	Onlayn bank xizmatlarining mavjud emasligi, ehtimol mijozlar uchun noqulaylik tug'dirishi mumkin, ammo bu halokatli emas.

Bu atrof-muhit bo'yicha 8.2 ballni va CDP: MH / TD: H / CR: H / IR: H / AR: L atrof-muhit vektorini beradi. Ushbu ball 7.0-10.0 oralig'ida joylashgan va shuning uchun zarar ko'rgan bankning faoliyati nuqtai nazaridan juda muhim zaiflik hisoblanadi.

2-versiyani tanqid qilish

Bir nechta sotuvchilar va tashkilotlar CVSSv2-dan noroziligini bildirdi.

Ochiq manbalardagi zaiflik ma'lumotlar bazasini boshqaradigan Xavfga asoslangan xavfsizlik va Open Security Foundation birgalikda CVSSv2-ning kamchiliklari va nosozliklari to'g'risida BIRINChIga ommaviy xat e'lon qildi.^[7] Mualliflar CVSS vektorlari va ballari har xil turdagi va tavakkal profillarining zaifliklarini to'g'ri ajratib turmaydigan natijalarga olib keladigan bir nechta o'lchovlarda granularlik etishmasligini ta'kidladilar. CVSS skorlama tizimi, shuningdek, zaiflikning aniq ta'sirini juda ko'p bilishni talab qilishi qayd etildi.

Rasmiy CVSS spetsifikatsiyalarida qisman va to'liq o'rtasidagi tavsifdagi bo'shliqlarni to'ldirish uchun Oracle maxfiylik, yaxlitlik va mavjudlik uchun yangi "Qisman +" qiymatini taqdim etdi.^[8]

3-versiya

Ushbu tanqidlarning bir qismini hal qilish uchun CVSS 3-versiyasini ishlab chiqish 2012 yilda boshlangan. Yakuniy spetsifikatsiya CVSS v3.0 deb nomlangan va 2015 yil iyun oyida chiqarilgan. Spetsifikatsiya hujjatidan tashqari, foydalanuvchi uchun qo'llanma va namunalar hujjati ham chiqarilgan.^[9]

Bir nechta ko'rsatkichlar o'zgartirildi, qo'shildi va olib tashlandi. Raqamli formulalar mavjud ko'rsatkichlarni 0-10 oralig'ida saqlab, yangi ko'rsatkichlarni kiritish uchun yangilandi. Yo'q (0), Past (0.1-3.9), O'rta (4.0-6.9), Yuqori (7.0-8.9) va Tanqidiy (9.0-10.0)^[10] ushbu standartga kirmaydigan CVSS v2 uchun belgilangan NVD toifalariga o'xshash tarzda aniqlandi.^[11]

2-versiyadagi o'zgarishlar

Asosiy ko'rsatkichlar

Base vektorida foydalanuvchining o'zaro ta'sirini yoki foydalanuvchi yoki administrator imtiyozlaridan foydalanishni talab qiladigan zaifliklarni ajratish uchun foydalanuvchi bilan o'zaro ta'sir (UI) va talab qilinadigan imtiyozlar (PR) yangi ko'rsatkichlari qo'shildi. Ilgari ushbu tushunchalar CVSSv2 ning Access Vector metrikasining bir qismi bo'lgan. Base vektori, shuningdek, qaysi zaifliklardan foydalanish mumkinligi va keyinchalik tizim yoki tarmoqning boshqa qismlariga hujum qilish uchun ishlatilishi mumkin bo'lgan yangi Scope (S) metrikasini joriy etdi. Ushbu yangi ko'rsatkichlar Base vektoriga baholanadigan zaiflik turini aniqroq ifodalashga imkon beradi.

Maxfiylik, yaxlitlik va mavjudlik (C, I, A) ko'rsatkichlari yangilangan bo'lib, CVSSv2 ning Hech biri, Qisman, To'liq emas, balki Yo'q, Past yoki Yuqori ko'rsatkichlaridan iborat bo'ldi. Bu zaiflikning CIA ko'rsatkichlariga ta'sirini aniqlashda ko'proq moslashuvchanlikni ta'minlaydi.

Kirish imtiyozlari alohida metrikaga ko'chirilganligini aniqlash uchun kirishning murakkabligi "Hujum murakkabligi" (AC) deb o'zgartirildi. Ushbu o'lchov endi ushbu zaiflikdan qanday qilib takrorlanadigan ekspluatatsiya bo'lishi mumkinligini tavsiflaydi; Agar tajovuzkor mukammal vaqtni yoki boshqa holatlarni talab qilsa (foydalanuvchi o'zaro ta'siridan tashqari, bu alohida o'lchovdir), bu kelajakdagi urinishlarda osonlikcha takrorlanmasligi mumkin.

Attack Vector (AV) qurilmaga yoki tizimga jismoniy kirishni talab qiladigan zaifliklarni tavsiflash uchun Fizika (P) ning yangi metrik qiymatini kiritdi.

Vaqtinchalik ko'rsatkichlar

Vaqtinchalik ko'rsatkichlar asosan CVSSv2-dan o'zgarmadi.

Atrof-muhit ko'rsatkichlari

CVSSv2 ning atrof-muhit ko'rsatkichlari butunlay olib tashlandi va o'zgartirilgan vektor deb nomlanadigan ikkinchi Base skoriga almashtirildi. O'zgartirilgan baza butun dunyo bilan taqqoslaganda tashkilot yoki kompaniya ichidagi farqlarni aks ettirishga mo'ljallangan. Maxfiylik, yaxlitlik va ma'lum bir muhit uchun mavjudligini muhimligini aniqlash uchun yangi ko'rsatkichlar qo'shildi.

3-versiyani tanqid qilish

2015 yil sentyabr oyida blog postida CERT muvofiqlashtirish markazi CVSSv2 va CVSSv3.0-ning cheklangan cheklovlari muhokama qilindi, masalan, Internet Internet kabi rivojlanayotgan texnologik tizimlarda ballarni zaiflashtirishda foydalanish.^[12]

3.1-versiya

CVSS-ning kichik yangilanishi 2019 yil 17-iyun kuni e'lon qilindi. CVSS 3.1 versiyasining maqsadi, mavjud CVSS 3.0 versiyasini yangi metrikalarni yoki metrik qiymatlarni kiritmasdan aniqlashtirish va takomillashtirish edi, bu esa ikkala bal bilan ham yangi standartni ishqalanmasdan qabul qilishga imkon beradi. provayderlar va skoring iste'molchilari bir xil. CVSS standartini takomillashtirishda qulaylik asosiy e'tibor edi. CVSS v3.1-ga kiritilgan bir nechta o'zgarishlar CVSS v3.0-ga kiritilgan tushunchalarning ravshanligini yaxshilash va shu bilan standartdan foydalanishning umumiy qulayligini yaxshilashdir.

FIRST so'nggi 15 yil ichida va undan keyingi yillarda ishlab chiqilgan zaifliklarga, mahsulotlarga va platformalarga tobora ko'proq mos keladigan CVSS-ni takomillashtirish va takomillashtirishni davom ettirish uchun soha mutaxassislari tomonidan kiritilgan ma'lumotlardan foydalangan. CVSS-ning asosiy maqsadi - bu turli xil okruglar bo'yicha zaiflikning zo'ravonligini aniqlashning deterministik va takrorlanadigan usulini ta'minlashdir, bu esa CVSS iste'molchilariga ushbu balni o'zlariga xos bo'lgan xavf, tuzatish va yumshatish qarorining kattaroq matritsasiga kirish sifatida ishlatishga imkon beradi. atrof-muhit va xavfga chidamlilik.

CVSS versiyasi 3.1 spetsifikatsiyasining yangilanishlari ta'riflarni aniqlashtirishni va Attack Vector, Imtiyozlar, Amaliyot doirasi va Xavfsizlik talablari kabi mavjud bazaviy o'lchovlarni tushuntirishni o'z ichiga oladi. CVSS kengaytmalarining CVSS kengaytmasi deb nomlangan CVSS-ni kengaytirishning yangi standart usuli ham aniqlandi, bu skor-provayderga rasmiy Base, Temporal va Environmental Metrics-ni saqlab qolishda qo'shimcha metrikalar va metrik guruhlarni kiritishga imkon beradi. Qo'shimcha ko'rsatkichlar maxfiylik, xavfsizlik, avtomobilsozlik, sog'liqni saqlash va boshqalar kabi sanoat tarmoqlariga asosiy CVSS standartidan tashqarida bo'lgan omillarni aniqlashga imkon beradi. Va nihoyat, CVSS atamalarining lug'ati kengaytirilgan va takomillashtirilgan bo'lib, CVSS versiyasi 3.1 hujjatlari davomida ishlatilgan barcha atamalarni qamrab oladi.

Farzandlikka olish

CVSS versiyalari turli xil tashkilotlar va kompaniyalar tomonidan zaifliklarning og'irligini miqdoriy aniqlashning asosiy usuli sifatida qabul qilingan, shu jumladan:

The Milliy zaiflik ma'lumotlar bazasi (NVD)^[13]
The Ochiq manbali zaiflik ma'lumotlar bazasi (OSVDB)^[14]
CERT muvofiqlashtirish markazi,^[15] xususan CVSSv2 Base, Temporal and Atrof-muhit ko'rsatkichlaridan foydalanadi

Shuningdek qarang

Zaiflikning umumiy ro'yxati (CWE)
Umumiy zaifliklar va ta'sirlar (CVE)
Umumiy hujum namunalarini sanash va tasnifi (CAPEC)

Adabiyotlar

^ "Umumiy zaifliklarni baholash tizimi, V3 ishlab chiqarishni yangilash". First.org, Inc. Olingan 13-noyabr, 2015.
^ "CVSS v1 arxivi". First.org, Inc. Olingan 2015-11-15.
^ "CVSS v2 tarixi". First.org, Inc. Olingan 2015-11-15.
^ "CVSS v3 ishlab chiqish uchun CVSS maxsus foizlar guruhini e'lon qilish". First.org, Inc. arxivlangan asl nusxasi 2013 yil 17 fevralda. Olingan 2 mart, 2013.
^ "Umumiy zaifliklarni baholash tizimi, V3 ishlab chiqarishni yangilash". First.org, Inc. Olingan 13-noyabr, 2015.
^ "CVSS v2 to'liq hujjatlari". First.org, Inc. Olingan 2015-11-15.
^ "CVSS - kamchiliklar, nosozliklar va nosozliklar" (PDF). Xavfga asoslangan xavfsizlik. 2013-02-27. Olingan 2015-11-15.
^ "CVSS reyting tizimi". Oracle. 2010-06-01. Olingan 2015-11-15.
^ "CVSS v3, .0 texnik hujjat". BIRINChI, Inc. Olingan 2015-11-15.
^ "Umumiy zaifliklarni baholash tizimi v3.0: texnik hujjat (jiddiylik darajasining reyting shkalasi)". First.org. Olingan 2016-01-10.
^ "NVD umumiy zaifliklarni aniqlash tizimini qo'llab-quvvatlash v2". Milliy zaiflik ma'lumotlar bazasi. Milliy standartlar va texnologiyalar instituti. Olingan 2 mart, 2013.
^ "CVSS va narsalar interneti". CERT muvofiqlashtirish markazi. 2015-09-02. Olingan 2015-11-15.
^ "Milliy zaifliklar uchun ma'lumotlar bazasi". Nvd.nist.gov. Olingan 2013-04-16.
^ "Ochiq manbali zaiflik uchun ma'lumotlar bazasi". OSVDB. Olingan 2013-04-16.
^ "CVSS yordamida zaiflik darajasi". CERT muvofiqlashtirish markazi. 2012-04-12. Olingan 2015-11-15.

Tashqi havolalar

[cvss3.1-1] "Umumiy zaifliklarni baholash tizimi, V3 ishlab chiqarishni yangilash". First.org, Inc. Olingan 13-noyabr, 2015.

[cvssv1-2] "CVSS v1 arxivi". First.org, Inc. Olingan 2015-11-15.

[cvssv2-3] "CVSS v2 tarixi". First.org, Inc. Olingan 2015-11-15.

[cvss3-4] "CVSS v3 ishlab chiqish uchun CVSS maxsus foizlar guruhini e'lon qilish". First.org, Inc. arxivlangan asl nusxasi 2013 yil 17 fevralda. Olingan 2 mart, 2013.

[cvss3.0-5] "Umumiy zaifliklarni baholash tizimi, V3 ishlab chiqarishni yangilash". First.org, Inc. Olingan 13-noyabr, 2015.

[cvssv2_specs-6] "CVSS v2 to'liq hujjatlari". First.org, Inc. Olingan 2015-11-15.

[rbs_failures_cvssv2-7] "CVSS - kamchiliklar, nosozliklar va nosozliklar" (PDF). Xavfga asoslangan xavfsizlik. 2013-02-27. Olingan 2015-11-15.

[oracle_partialplus-8] "CVSS reyting tizimi". Oracle. 2010-06-01. Olingan 2015-11-15.

[cvssv3.0_specs-9] "CVSS v3, .0 texnik hujjat". BIRINChI, Inc. Olingan 2015-11-15.

[cvss3.0_severities-10] "Umumiy zaifliklarni baholash tizimi v3.0: texnik hujjat (jiddiylik darajasining reyting shkalasi)". First.org. Olingan 2016-01-10.

[nist_ranges-11] "NVD umumiy zaifliklarni aniqlash tizimini qo'llab-quvvatlash v2". Milliy zaiflik ma'lumotlar bazasi. Milliy standartlar va texnologiyalar instituti. Olingan 2 mart, 2013.

[cert_cvss_iot-12] "CVSS va narsalar interneti". CERT muvofiqlashtirish markazi. 2015-09-02. Olingan 2015-11-15.

[nvdb_main-13] "Milliy zaifliklar uchun ma'lumotlar bazasi". Nvd.nist.gov. Olingan 2013-04-16.

[osvdb_main-14] "Ochiq manbali zaiflik uchun ma'lumotlar bazasi". OSVDB. Olingan 2013-04-16.

[cert_uses_cvss-15] "CVSS yordamida zaiflik darajasi". CERT muvofiqlashtirish markazi. 2012-04-12. Olingan 2015-11-15.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]