Общая система оценки уязвимостей

Общая система оценки уязвимостей ( CVSS ) — это бесплатный и открытый отраслевой стандарт для оценки серьезности безопасности компьютерных систем уязвимостей . CVSS пытается присвоить уязвимостям степень серьезности, позволяя службам реагирования расставлять приоритеты ответов и ресурсов в соответствии с угрозой. Оценки рассчитываются по формуле, которая зависит от нескольких показателей , которые приблизительно определяют простоту и воздействие эксплойта. Баллы варьируются от 0 до 10, где 10 — самая тяжелая степень. Хотя многие используют только базовую оценку CVSS для определения серьезности, также существуют временные оценки и оценки окружающей среды, которые учитывают наличие мер по смягчению последствий и степень распространенности уязвимых систем в организации соответственно.

Текущая версия CVSS (CVSSv4.0) была выпущена в ноябре 2023 года. ^[1]

Исследования Национального консультативного совета по инфраструктуре (NIAC) в 2003/2004 году привели к запуску версии 1 CVSS (CVSSv1) в феврале 2005 года. ^[2] с целью быть «разработанным для предоставления открытых и универсально стандартных оценок серьезности уязвимостей программного обеспечения». Этот первоначальный проект не подвергался экспертному рассмотрению или рассмотрению другими организациями. В апреле 2005 года NIAC выбрал Форум групп реагирования на инциденты и безопасности ( FIRST ) в качестве хранителя CVSS для будущего развития. ^{[3] [4]}

Отзывы поставщиков, использующих CVSSv1 в производстве, показали, что в первоначальном проекте CVSS были «серьезные проблемы». Работа над CVSS версии 2 (CVSSv2) началась в апреле 2005 года, а окончательная спецификация была выпущена в июне 2007 года. ^[5]

Дальнейшие отзывы привели к началу работы над CVSS версии 3. ^[6] в 2012 году, а в июне 2015 года был выпущен CVSSv3.0. ^{[7] [2]}

Оценка CVSS измеряет три проблемные области:

1. базовые метрики качеств, присущих уязвимости,
2. временные метрики для характеристик, которые изменяются в течение срока службы уязвимости, и
3. метрики среды для уязвимостей, которые зависят от конкретной реализации или среды.

Для каждой из этих групп показателей генерируется числовая оценка. Векторная строка (или просто «вектор» в CVSSv2) представляет значения всех метрик в виде блока текста.

Полную документацию по CVSSv2 можно получить на сайте FIRST. ^[8] Краткое изложение представлено ниже.

Вектор доступа (AV) показывает, как можно использовать уязвимость.

Метрика сложности доступа (AC) описывает, насколько легко или сложно воспользоваться обнаруженной уязвимостью.

Метрика аутентификации (Au) описывает количество раз, которое злоумышленник должен пройти аутентификацию на цели, чтобы использовать ее. Он не включает (например) аутентификацию в сети для получения доступа. Для уязвимостей, которые можно использовать локально, для этого значения следует устанавливать значение «Одиночная» или «Множественная» только в том случае, если после первоначального доступа требуется дополнительная аутентификация.

Метрика конфиденциальности (C) описывает влияние на конфиденциальность данных, обрабатываемых системой.

Метрика Целостность (I) описывает влияние на целостность эксплуатируемой системы.

Метрика доступности (A) описывает влияние на доступность целевой системы. Атаки, которые потребляют пропускную способность сети, циклы процессора, память или любые другие ресурсы, влияют на доступность системы.

Эти шесть показателей используются для расчета возможности использования и влияния уязвимости. Эти промежуточные баллы используются для расчета общего базового балла.

${\displaystyle {\textsf {Exploitability}}=20\times {\textsf {AccessVector}}\times {\textsf {AccessComplexity}}\times {\textsf {Authentication}}}$

${\displaystyle {\textsf {Impact}}=10.41\times (1-(1-{\textsf {ConfImpact}})\times (1-{\textsf {IntegImpact}})\times (1-{\textsf {AvailImpact}}))}$

${\displaystyle f({\textsf {Impact}})={\begin{cases}0,&{\text{if }}{\textsf {Impact}}{\text{ = 0}}\\1.176,&{\text{otherwise }}\end{cases}}}$

${\displaystyle {\textsf {BaseScore}}={\textsf {roundTo1Decimal}}(((0.6\times {\textsf {Impact}})+(0.4\times {\textsf {Exploitability}})-1.5)\times f({\textsf {Impact}}))}$

Метрики объединяются для создания вектора CVSS для уязвимости.

Уязвимость переполнения буфера затрагивает программное обеспечение веб-сервера, которое позволяет удаленному пользователю получить частичный контроль над системой, включая возможность вызвать ее завершение:

Это даст подоценку эксплуатационной способности 10 и подоценку воздействия 8,5, что дает общий базовый балл 9,0. Вектором базовой оценки в этом случае будет AV:N/AC:L/Au:N/C:P/I:P/A:C. Оценка и вектор обычно представляются вместе, чтобы позволить получателю полностью понять природу уязвимости и при необходимости рассчитать свою собственную экологическую оценку.

Значение временных показателей меняется в течение срока существования уязвимости по мере разработки, раскрытия и автоматизации эксплойтов, а также по мере появления средств и исправлений.

Метрика возможности использования (E) описывает текущее состояние методов эксплуатации или автоматизированного кода эксплуатации.

Уровень исправления (RL) уязвимости позволяет снизить временную оценку уязвимости по мере появления мер по снижению рисков и официальных исправлений.

Достоверность отчета (RC) об уязвимости измеряет уровень уверенности в существовании уязвимости, а также достоверность технических деталей уязвимости.

Эти три метрики используются вместе с уже рассчитанной базовой оценкой для получения временной оценки уязвимости с соответствующим вектором.

Формула, используемая для расчета временного показателя:

${\displaystyle {\textsf {TemporalScore}}={\textsf {roundTo1Decimal}}({\textsf {BaseScore}}\times {\textsf {Exploitability}}\times {\textsf {RemediationLevel}}\times {\textsf {ReportConfidence}})}$

Продолжая приведенный выше пример, если поставщик был впервые проинформирован об уязвимости путем публикации кода проверки концепции в списке рассылки, начальная временная оценка будет рассчитана с использованием значений, показанных ниже:

Это даст временную оценку 7,3 с временным вектором E:P/RL:U/RC:UC (или полным вектором AV:N/AC:L/Au:N/C:P/I:P /A:C/E:P/RL:U/RC:UC).

Если затем поставщик подтверждает наличие уязвимости, то оценка повышается до 8,1 с временным вектором E:P/RL:U/RC:C.

Временное исправление от поставщика снизит оценку обратно до 7,3 (E:P/RL:T/RC:C), тогда как официальное исправление снизит ее еще больше до 7,0 (E:P/RL:O/RC:C). . Поскольку невозможно быть уверенным в том, что каждая затронутая система исправлена ​​или исправлена, временной показатель не может снизиться ниже определенного уровня в зависимости от действий поставщика и может увеличиться, если будет разработан автоматический эксплойт для уязвимости.

Метрики окружающей среды используют базовую и текущую временную оценку для оценки серьезности уязвимости в контексте способа развертывания уязвимого продукта или программного обеспечения. Эта мера рассчитывается субъективно, как правило, заинтересованными сторонами.

Показатель потенциала сопутствующего ущерба (CDP) измеряет потенциальные потери или воздействие либо на физические активы, такие как оборудование (и жизни), либо финансовые последствия для пострадавшей организации в случае использования уязвимости.

Метрика целевого распределения (TD) измеряет долю уязвимых систем в среде.

Три дополнительных показателя оценивают конкретные требования безопасности к конфиденциальности (CR), целостности (IR) и доступности (AR), что позволяет точно настроить оценку среды в соответствии со средой пользователя.

Пять показателей окружающей среды используются вместе с ранее оцененными базовыми и временными показателями для расчета показателя окружающей среды и создания соответствующего вектора окружающей среды.

${\displaystyle {\textsf {AdjustedImpact}}=\min(10,10.41\times (1-(1-{\textsf {ConfImpact}}\times {\textsf {ConfReq}})\times (1-{\textsf {IntegImpact}}\times {\textsf {IntegReq}})\times (1-{\textsf {AvailImpact}}\times {\textsf {AvailReq}})))}$

${\displaystyle {\textsf {AdjustedTemporal}}={\textsf {TemporalScore}}{\text{ recomputed with the }}{\textsf {BaseScore}}{\text{s }}{\textsf {Impact}}{\text{ sub-equation replaced with the }}{\textsf {AdjustedImpact}}{\text{ equation}}}$

${\displaystyle {\textsf {EnvironmentalScore}}={\textsf {roundTo1Decimal}}(({\textsf {AdjustedTemporal}}+(10-{\textsf {AdjustedTemporal}})\times {\textsf {CollateralDamagePotential}})\times {\textsf {TargetDistribution}})}$

Если бы вышеупомянутый уязвимый веб-сервер использовался банком для предоставления услуг онлайн-банкинга и у поставщика было доступно временное исправление, то экологический рейтинг можно было бы оценить как:

Это даст оценку окружающей среды 8,2 и экологический вектор CDP:MH/TD:H/CR:H/IR:H/AR:L. Этот балл находится в диапазоне 7,0–10,0 и, следовательно, представляет собой критическую уязвимость в контексте бизнеса пострадавшего банка.

Несколько поставщиков и организаций выразили недовольство CVSSv2.

Risk Based Security, которая управляет базой данных уязвимостей с открытым исходным кодом , и Open Security Foundation совместно опубликовали публичное письмо в адрес FIRST относительно недостатков и сбоев CVSSv2. ^[9] Авторы указали на отсутствие детализации в некоторых показателях, что приводит к тому, что векторы и оценки CVSS не позволяют должным образом различать уязвимости разных типов и профилей риска. Также было отмечено, что система оценки CVSS требует слишком много знаний о точном влиянии уязвимости.

Oracle представила новое значение метрики «Частичное+» для конфиденциальности, целостности и доступности, чтобы заполнить очевидные пробелы в описании между частичным и полным в официальных спецификациях CVSS. ^[10]

Чтобы устранить некоторые из этих критических замечаний, в 2012 году была начата разработка CVSS версии 3. Окончательная спецификация была названа CVSSv3.0 и выпущена в июне 2015 года. Помимо документа со спецификациями, также были выпущены руководство пользователя и документ с примерами. ^[11]

Несколько показателей были изменены, добавлены и удалены. Числовые формулы были обновлены, чтобы включить новые показатели, сохранив при этом существующий диапазон оценок от 0 до 10. Рейтинги серьезности текста: «Нет» (0), «Низкий» (0,1–3,9), «Средний» (4,0–6,9), «Высокий» (7,0–8,9) ​​и «Критический» (9,0–10,0). ^[12] были определены аналогично категориям NVD, определенным для CVSSv2, которые не были частью этого стандарта. ^[13]

В базовый вектор были добавлены новые метрики «Взаимодействие с пользователем» (UI) и «Требуемые привилегии» (PR), чтобы помочь различать уязвимости, для использования которых требуется взаимодействие с пользователем или права пользователя или администратора. Ранее эти концепции были частью метрики вектора доступа CVSSv2. Пользовательский интерфейс может принимать значения None или Required; атаки, не требующие входа в систему в качестве пользователя, считаются более серьезными. PR может принимать значения «Нет», «Низкий» или «Высокий»; Аналогичным образом, атаки, требующие меньшего количества привилегий, являются более серьезными.

В базовом векторе также была введена новая метрика Scope (S), которая была разработана, чтобы прояснить, какие уязвимости могут быть использованы, а затем использованы для атаки на другие части системы или сети. Эти новые метрики позволяют базовому вектору более четко выразить тип оцениваемой уязвимости.

Метрики конфиденциальности, целостности и доступности (C, I, A) были обновлены, чтобы иметь оценки, состоящие из «Нет», «Низкий» или «Высокий», а не «Нет», «Частичный» и «Полный», как в CVSSv2. Это обеспечивает большую гибкость при определении влияния уязвимости на показатели ЦРУ.

«Сложность доступа» была переименована в «Сложность атаки» (AC), чтобы было понятно, что права доступа были вынесены в отдельную метрику. Эта метрика теперь описывает, насколько повторяемым может быть использование этой уязвимости; AC имеет высокий уровень, если злоумышленнику требуется идеальное время или другие обстоятельства (кроме взаимодействия с пользователем, которое также является отдельной метрикой), которые невозможно легко воспроизвести при будущих попытках.

В вектор атаки (AV) было включено новое значение метрики «Физический» (P) для описания уязвимостей, для работы которых требуется физический доступ к устройству или системе.

Временные метрики практически не изменились по сравнению с CVSSv2.

Метрики окружающей среды CVSSv2 были полностью удалены и заменены, по сути, второй базовой оценкой, известной как модифицированный вектор. Модифицированная база предназначена для отражения различий внутри организации или компании по сравнению с миром в целом. Были добавлены новые показатели, отражающие важность конфиденциальности, целостности и доступности для конкретной среды.

В своем блоге в сентябре 2015 года Координационный центр CERT обсудил ограничения CVSSv2 и CVSSv3.0 для использования при оценке уязвимостей в новых технологических системах, таких как Интернет вещей. ^[14]

Небольшое обновление CVSS было выпущено 17 июня 2019 года. Целью CVSSv3.1 было уточнение и улучшение существующего стандарта CVSSv3.0 без введения новых метрик или значений метрик, что позволило беспрепятственно принять новый стандарт путем оценки как поставщиков, так и потребителей. Удобство использования было главным фактором при улучшении стандарта CVSS. Некоторые изменения, внесенные в CVSSv3.1, призваны улучшить ясность понятий, представленных в CVSSv3.0, и тем самым повысить общую простоту использования стандарта.

Компания FIRST использовала мнения отраслевых экспертов, чтобы продолжать совершенствовать и совершенствовать CVSS, чтобы сделать его все более применимым к уязвимостям, продуктам и платформам, разрабатываемым за последние 15 лет и за его пределами. Основная цель CVSS — предоставить детерминированный и воспроизводимый способ оценки серьезности уязвимости для множества различных групп, позволяя потребителям CVSS использовать эту оценку в качестве входных данных для более широкой матрицы принятия решений по рискам, исправлению и смягчению последствий, специфичных для их конкретных целей. особая среда и толерантность к риску.

Обновления спецификации CVSSv3.1 включают уточнения определений и объяснение существующих базовых показателей, таких как вектор атаки, требуемые привилегии, область действия и требования безопасности. Также был определен новый стандартный метод расширения CVSS, названный CVSS Extensions Framework, позволяющий провайдеру оценки включать дополнительные метрики и группы метрик, сохраняя при этом официальные базовые, временные и экологические метрики. Дополнительные показатели позволяют таким отраслевым секторам, как конфиденциальность, безопасность, автомобилестроение, здравоохранение и т. д., оценивать факторы, выходящие за рамки основного стандарта CVSS. Наконец, глоссарий терминов CVSS был расширен и уточнен, чтобы охватить все термины, используемые в документации CVSSv3.1.

В июне 2023 года была выпущена общедоступная предварительная версия CVSSv4.0, содержащая ряд улучшений. ^[15] Версия 4.0 была официально выпущена в ноябре 2023 года. ^[1]

Версии CVSS были приняты в качестве основного метода количественной оценки серьезности уязвимостей широким кругом организаций и компаний, в том числе:

• Национальная база данных уязвимостей (NVD) ^[16]
• База данных уязвимостей с открытым исходным кодом (OSVDB) ^[17]
• Координационный центр CERT , ^[18] который, в частности, использует базовые, временные и экологические метрики CVSSv2.

• Общий перечень слабостей (CWE)
• Распространенные уязвимости и риски (CVE)
• Перечень и классификация общих шаблонов атак (CAPEC)

• Сайт Форума команд реагирования на инциденты и безопасности (FIRST) CVSS
• Сайт Национальной базы данных уязвимостей (NVD) CVSS
• Калькулятор общей системы оценки уязвимостей v2