揭开CVSS的神秘面纱
一、CVSS到底是什么?
雖然軟件漏洞的潛在影響不應(yīng)該被低估,但是對(duì)每個(gè)漏洞給予同等重要性是不科學(xué)的,同時(shí)也是不合理的。因此,我們需要一個(gè)專業(yè)評(píng)分標(biāo)準(zhǔn)對(duì)每個(gè)漏洞的嚴(yán)重程度進(jìn)行優(yōu)先級(jí)排序,以便企業(yè)和安全團(tuán)隊(duì)可以從容的理解和修復(fù)每個(gè)已知漏洞。于是CVSS應(yīng)運(yùn)而生。
CVSS(The?Common Vulnerability Scoring System通用漏洞評(píng)分系統(tǒng))是一個(gè)行業(yè)標(biāo)準(zhǔn),由FIRST.org編寫(xiě)并更新。FIRST是一個(gè)總部設(shè)在美國(guó)的非營(yíng)利組織,在全球擁有超過(guò)500個(gè)成員組織,它的權(quán)威性因此得到了有效的保證。
CVSS提供了信息安全漏洞嚴(yán)重程度的數(shù)值,0-10代表不嚴(yán)重到致命威脅。CVSS評(píng)分通常被用作漏洞管理程序的一部分,以提供漏洞之間的比較點(diǎn),以便優(yōu)先修復(fù)嚴(yán)重程度高的漏洞。
二、評(píng)分標(biāo)準(zhǔn)
CVSS現(xiàn)在的版本是V3.1,其更新目的是解決V2中的一些已知缺點(diǎn)。
CVSS評(píng)分由三組指標(biāo)組成:基礎(chǔ)、時(shí)間、環(huán)境。每組指標(biāo)都有一些基礎(chǔ)評(píng)分因素。
1.CVSS Base Metrics
基礎(chǔ)因素代表了漏洞本身的特征。這些特征不會(huì)隨著時(shí)間的推移而改變,也不依賴實(shí)際使用的可利用性或企業(yè)設(shè)置的補(bǔ)償手段。公開(kāi)的嚴(yán)重程度排名,例如NIST的NVD中列出的那些,僅指CVSS基礎(chǔ)評(píng)分。
基礎(chǔ)CVSS分?jǐn)?shù)的簡(jiǎn)單可用性為修復(fù)優(yōu)先級(jí)排序提供了一個(gè)簡(jiǎn)便的起點(diǎn),但它的用途有限,因?yàn)樗鼪](méi)有考慮到實(shí)際應(yīng)用中的使用率、補(bǔ)丁的可用性、或其他環(huán)境因素。
CVSS基礎(chǔ)因素由三個(gè)子評(píng)分元素組成:可利用性(Exploitability)、范圍(Scope)和影響(Impact)
①可利用性:可利用性由漏洞組件的特征組成,它又由四個(gè)子元素構(gòu)成。
A.攻擊向量:這個(gè)分?jǐn)?shù)根據(jù)利用漏洞所需的訪問(wèn)級(jí)別而變化。對(duì)于可以遠(yuǎn)程執(zhí)行的攻擊,它的得分要高于需要實(shí)體存在的攻擊。
B.攻擊復(fù)雜度:這個(gè)得分隨攻擊者控制范圍之外的因素而變化。對(duì)于需要攻擊者進(jìn)行額外工作的漏洞攻擊(例如盜取共享密鑰或中間人攻擊),它的得分要高于不需要這種額外工作的攻擊。
C.特權(quán)許可:這個(gè)分?jǐn)?shù)根據(jù)攻擊者進(jìn)行攻擊所需的特權(quán)而變化。需要管理特權(quán)才能利用的漏洞比不需要身份驗(yàn)證或攻擊者升級(jí)特權(quán)的漏洞得分更高。
D.用戶交互:這個(gè)分?jǐn)?shù)隨攻擊者是否必須招募一個(gè)參與者來(lái)完成他們的任務(wù)而變化。如果攻擊者能夠在沒(méi)有實(shí)際用戶參與的情況下自主操作,則得分會(huì)更高。
②范圍:與一個(gè)組件中的漏洞是否可以感染到其他組件有關(guān)。如果存在感染可能性,則該得分會(huì)較高。
③影響:側(cè)重于攻擊者可以通過(guò)利用相關(guān)的漏洞實(shí)現(xiàn)的實(shí)際結(jié)果,它又由三個(gè)子因素構(gòu)成。
A.機(jī)密性:該得分隨攻擊者獲得訪問(wèn)的數(shù)據(jù)量而變化。如果受影響系統(tǒng)上的所有數(shù)據(jù)都可以被攻擊者訪問(wèn),那么得分會(huì)更高。如果沒(méi)有數(shù)據(jù)可以訪問(wèn),得分會(huì)較低。
B.完整性:該分?jǐn)?shù)隨攻擊者改變受影響系統(tǒng)上數(shù)據(jù)的能力而變化。如果大范圍的修改數(shù)據(jù),則該分?jǐn)?shù)將會(huì)很高。
C.可用性:該分?jǐn)?shù)隨著被利用系統(tǒng)可用性的丟失而變化。如果由于變化,系統(tǒng)不再支持對(duì)授權(quán)用戶可訪問(wèn)或可使用,那么該得分將會(huì)較高。
2.CVSS Temporal Metrics
CVSS時(shí)間因素是隨時(shí)間變化的因素,該因素可以衡量漏洞的當(dāng)前可利用性,以及修復(fù)補(bǔ)丁的可用性。時(shí)間因素又包含三個(gè)子因素。
①利用代碼成熟度:在存在利用漏洞的方法之前,它是相對(duì)良性的。與大多數(shù)軟件一樣,可用于進(jìn)行攻擊的代碼會(huì)漸漸成熟,隨著時(shí)間的推移變得更加穩(wěn)定和被廣泛可用。當(dāng)這種情況發(fā)生時(shí),該分?jǐn)?shù)將會(huì)增加。
②修復(fù)級(jí)別:當(dāng)?shù)谝淮伟l(fā)現(xiàn)漏洞時(shí),可能沒(méi)有補(bǔ)丁或其他可用的解決方案。但隨著時(shí)間的推移,修復(fù)措施會(huì)變得越來(lái)越多也越來(lái)越可用,于是該分?jǐn)?shù)也會(huì)隨之降低。
③報(bào)告置信度:置信度測(cè)量驗(yàn)證水平,表明一個(gè)漏洞時(shí)真實(shí)的和可利用的。
3.CVSS Environmental?Metrics
CVSS環(huán)境因素允許企業(yè)根據(jù)安全需求和基礎(chǔ)因素的修改來(lái)更改CVSS分?jǐn)?shù)。該因素包含兩個(gè)子因素。
①安全要求:描述了有關(guān)資產(chǎn)的關(guān)鍵性。任務(wù)關(guān)鍵數(shù)據(jù)和資產(chǎn)的得分高于不太重要的數(shù)據(jù)和資產(chǎn)。
②修改的基本標(biāo)準(zhǔn):企業(yè)可以根據(jù)已經(jīng)實(shí)施的修復(fù)措施選擇修改相應(yīng)的CVSS基礎(chǔ)分?jǐn)?shù)。
三、定性評(píng)級(jí)
CVSS分?jǐn)?shù)為0-10分,對(duì)于最新的標(biāo)準(zhǔn)?CVSS v3.1,它的評(píng)級(jí)標(biāo)準(zhǔn)如下:
四、CVSS和CVE有什么不同?
當(dāng)涉及到安全漏洞時(shí),有太多的簡(jiǎn)寫(xiě)需要識(shí)別:CVE、CVSS、NVD、NIST。其中CVE代表Common?Vulnerability Enumeration(通用漏洞枚舉),它是一個(gè)所有公開(kāi)漏洞的列表,由Mitre公司建立。NIST是美國(guó)的“工信部”,它建立了NVD(美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)),其中的數(shù)據(jù)直接應(yīng)用了Mitre?CVE列表中的數(shù)據(jù)。
在NVD中,安全人員可以看到分配給每個(gè)CVE的CVSS分?jǐn)?shù)。
總結(jié)
以上是生活随笔為你收集整理的揭开CVSS的神秘面纱的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: JUnit单元测试案例——异常测试(测试
- 下一篇: java下载csv乱码问题