共计 2036 个字符,预计需要花费 6 分钟才能阅读完成。
通用破绽评分零碎 (CVSS) 是一个公共框架,用于评估软件中安全漏洞的严重性。这是一个中立的评分零碎,让所有企业可能应用雷同的评分框架对各种软件产品(从操作系统、数据库再到 Web 应用程序)的 IT 破绽进行评分。
为什么企业要采纳 CVSS
在没有 CVSS 以前,软件供应商应用本人的办法对软件破绽进行评分,然而他们通常没有具体阐明分数是如何计算的。这给平安人员带来了一个难题:首先修复严重性为“高”的破绽,还是修复等级为 5 的破绽?为了解决这个问题,美国国家基础设施保障委员会 (NIAC) 开发了 CVSS 来简化统一分数的生成,该分数能够精确反映破绽对特定 IT 环境的严重性和影响。
作为一个公开的评分框架,企业能够自在拜访用于生成分数的参数,分明地理解任何破绽分数背地的原理和差别。这让平安团队更容易评估破绽对其零碎的影响,并优先思考首先修复哪些破绽。CVSS 还能够帮忙组织满足各种规范的平安合规要求。
目前,CVSS 已被宽泛采纳,并被美国疆土安全部 (DHS)、美国计算机应急响应小组 (CERT) 和许多其余机构应用。Cisco、Qualys、Oracle 和 SAP 等大型企业也会生成 CVSS 分数,以告知用户在其产品中发现的破绽的严重性。软件开发人员还能够应用 CVSS 分数来确定平安测试的优先级,以确保在开发过程中修复或缓解已知的重大破绽。
如何了解 CVSS 分数
许多平安团队应用 CVSS 来确定破绽治理流动的优先级,例如事件响应流程、缺点跟踪和解决,或缓解管制的施行。
最新版本 CVSS v3.1 中,通过对受利用过程和影响的因素进行评估,从而得出最终的严重性分数。当企业在没有相干环境信息的状况下设置破绽的某些属性时,CVSS 分数就是一个可参考的“主观”信息。以下是 Spring4Shell 破绽 的 CVSS 示例,其严重性评分为 9.8 CRITICAL。
图片起源:Sysdig
根本指标
CVSS 的根底分数(Base Score)由以下变量计算得出:
攻打向量 (Attack Vector) : 该指标反映了可能利用破绽的环境。攻击者间隔越远(例如近程利用破绽发动攻打),根本得分越高。
- 攻打复杂度 (Attack complexity) : 该指标反映了利用破绽的简单 / 容易水平。在高复杂度的状况下,须要攻击者破费大量的致力来筹备或执行针对易受攻击的组件。最不简单的攻打,根本得分最高。
- 所需特权 (Privileges Required) : 决定了攻击者胜利利用破绽所必须领有的特权级别。共有三个选项 None/Low/High。None 是指无需身份验证即可利用破绽。在没有特权的状况下,根本分数最高。
- 用户交互 (User Interaction):这一项形容了是否能够在没有独自用户参加的状况下利用破绽。这在用户须要与威逼(恶意软件)交互以毁坏其设施的挪动应用程序中很常见。另一个例子,相似于网络钓鱼攻打,自身并没有危险,但攻击者应用社交工程来让受害者点击链接并受到攻打。
- 范畴 (Scope):度量捕捉一个易受攻击组件中的破绽是否会影响超出其平安范畴的组件中的资源,当范畴没有发生变化时,根本分数最低。
- CIA (机密性、完整性和可用性) : 该模型是形成平安零碎和策略开发的权威平安模型根底。这三个影响指标反映了胜利利用破绽的影响和结果。
根本分数是一个主观值,随着工夫的推移保持稳定并且在各企业之间保持一致。作为补充还有两个指标,别离为工夫和环境。这些值会带来更多的评分复杂性,因而在企业进行破绽治理晚期可能不会关注。
工夫指标
工夫指标依据破绽的以后状态作为已知破绽来掂量破绽的各个方面,因而代表了破绽的随工夫变动的属性,例如官网补丁的公布。它还包含报告置信度指标,该指标掂量对破绽存在的置信度以及证实破绽实在且可利用的已知技术细节的可信度。因而会随着破绽的生命周期而扭转。
环境指标
环境指标让平安人员能够依据受影响的 IT 资产对其的重要性来自定义 CVSS 分数。该指标提供了破绽在企业外部的实在环境(包含受破绽影响的资产关键性、缓解管制辨认和相干资产应用)。
具体 CVSS 分数计算示例见参考链接。
CVSS 补充评分零碎
在评估零碎的安全性时,以下的衍生评分零碎可能对 CVSS 进行无效补充。比方:
通用误用评分零碎 (CMSS):这是一组掂量具备误用破绽的软件的严重性指标。该分数能够帮忙公司提供用于对系统的整体平安情况进行定量评估的数据。
通用配置评分零碎 (CCSS):CCSS 基于 CVSS 和 CMSS。CCCS 将基准指标的可利用性分为被动或被动。被动利用是指攻击者执行操作以利用谬误配置,而被动利用指的是通过配置缺点使受权机制生效。
通用弱点评分零碎 (CWSS):从概念上讲,CVSS 和 CWSS 十分类似。通过对弱点的形容办法进行标准化,用户能够通过 CWSS 的攻击面指标和环境指标,应用业务环境的上下文信息来评估软件性能所面临的危险,以便精准地进行平安决策。CWSS 能够利用在公布新破绽的晚期过程中。
参考链接:
https://nvd.nist.gov/vuln-met…
