CVSS

CVSS (Common Vulnerability Scoring System) — это стандартный метод оценки уязвимостей в программном обеспечении и системах. Он позволяет оценить уровень риска, связанного с конкретной уязвимостью, и помогает организациям принимать обоснованные решения относительно управления безопасностью.

Основные компоненты CVSS

CVSS состоит из трех основных метрик:

1. Base Metrics (Базовые метрики)

   • Оценивают характеристики уязвимости, которые не зависят от контекста.
   • Включают:
     • Attack Vector (AV) — способ, которым злоумышленник может атаковать уязвимость (локально, через сеть или физически).
     • Attack Complexity (AC) — сложность атаки (низкая или высокая).
     • Privileges Required (PR) — уровень привилегий, необходимых для эксплуатации уязвимости (нет, низкий, высокий).
     • User Interaction (UI) — требуется ли взаимодействие пользователя для эксплуатации.
     • Scope (S) — влияет ли уязвимость на другие компоненты (unchanged или changed).
     • Confidentiality (C), Integrity (I), Availability (A) — влияние на конфиденциальность, целостность и доступность систем.

2. Temporal Metrics (Темпоральные метрики)

   • Описывают временные аспекты уязвимости, которые могут изменяться со временем.
   • Включают:
     • Exploit Code Maturity (E) — зрелость кода эксплуатации (неизвестен, доказанный, функциональный).
     • Remediation Level (RL) — уровень доступного исправления (неизвестен, временная мера, фиксированный патч).
     • Report Confidence (RC) — уверенность в наличии уязвимости (неизвестен, подтвержденный, проверенный).

3. Environmental Metrics (Экологические метрики)

   • Учитывают окружение, в котором находится уязвимость, и позволяют адаптировать оценку под конкретные условия.
   • Включают:
     • Collateral Damage Potential (CDP) — потенциальный ущерб.
     • Target Distribution (TD) — процент целевых систем, которые могут быть уязвимыми.
     • Security Requirements (SR) — важность конфиденциальности, целостности и доступности в конкретном окружении.

Как работает CVSS

CVSS использует числовую оценку от 0 до 10, где более высокие значения указывают на более серьезные уязвимости. Например:

• Уязвимость с оценкой 7.5 считается высокой и требует немедленных действий.
• Уязвимость с оценкой 4.0 может потребовать внимания, но не так критично.

Примеры

Рассмотрим два сценария:

1. Веб-приложение с SQL-инъекцией

   • AV: Network
   • AC: Low
   • PR: None
   • UI: Required
   • C: High, I: High, A: Low
   • Оценка может составить 9.0, что указывает на критическую уязвимость.

2. Локальная уязвимость в утилите

   • AV: Local
   • AC: High
   • PR: High
   • UI: None
   • C: Low, I: High, A: None
   • Оценка может составить 4.5, что указывает на умеренную уязвимость.

Практические советы

• Регулярно обновляйте оценки: Уязвимости могут изменяться, поэтому периодически пересматривайте CVSS-оценки.
• Используйте в сочетании с другими методами: CVSS — полезный инструмент, но не единственный. Рассмотрите использование других моделей оценки рисков.
• Обучайте команду: Объясните всем сотрудникам, как работает CVSS, чтобы они могли правильно оценивать уязвимости.

Распространенные ошибки

• Игнорирование контекста: Не учитывайте специфические условия при оценке уязвимости.
• Недостаточное внимание к временным метрикам: Оцените, как со временем может измениться риск.
• Перекрытие с другими оценками: Не полагайтесь исключительно на CVSS; используйте его в контексте других угроз и рисков.

Использование CVSS — это важная часть управления безопасностью, позволяющая более обоснованно реагировать на уязвимости в системах.