|
|
通用漏洞评分系统(CVSS)
通用漏洞评分系统(CVSS)是一个开放式框架,用于传达软件漏洞的特征和严重性。CVSS 由三个衡量指标组组成:基础评价、生命周期评价和环境评价。基础评价组表示漏洞的内在属性,这些特性在一段时间内在用户环境中保持不变,“生命周期评价”组表示随时间变化的漏洞的特征,“环境评价”组表示用户环境所独有的漏洞特征。基础评价生成从 0 到 10 的分值,然后可以通过对“生命周期”和“环境”指标进行评分来修改该分值。CVSS 分值也表示为向量字符串,这是用于派生分值的压缩文本重复。
通用漏洞评分系统(CVSS)可捕获软件、硬件和固件漏洞的主要技术特征。其输出包括指示漏洞相对于其他漏洞的严重性的数字分值。
CVSS 由三个衡量指标组组成:基础评价、生命周期评价和环境评价。
基础评价根据漏洞的固有特征反映漏洞的严重性,这些特征随时间变化是恒定的,并假定在不同部署的环境中会产生合理的最坏情况影响。生命周期评价根据随时间变化的因素(如漏洞利用代码的可用性)调整漏洞的基本严重性。环境评价根据特定计算环境调整基础评价和生命周期评价严重性,同时考虑诸如在该环境中的缓解措施等因素。
基础评价通常由维护脆弱产品的组织或代表其评分的第三方生成。通常只发布基础评价,因为这些指标不会随时间而变化,并且对所有环境都是通用的。CVSS 的使用者应使用特定于其使用脆弱产品的时间和环境分值来补充基础评价,以便为其组织环境生成更准确的严重性。消费者可以使用 CVSS 信息作为组织漏洞管理流程的输入,该流程还考虑了不属于 CVSS 的因素,以便对其技术基础架构的威胁进行排名并做出明智的补救决策。这些因素可能包括:产品线的客户数量,由于违规行为造成的金钱损失,生命或财产受到威胁,或公众对高度公开的漏洞的看法。这些都超出了 CVSS 的范围。
CVSS 的好处包括提供标准化的供应商和平台不可知的漏洞评分方法。它是一个开放的框架,为用于获得分值的个人特征和方法提供了透明度。
CVSS指标
CVSS 由三个衡量指标组组成:基本、时间和环境,每个指标组由一组衡量指标组成,如图 1 所示。
图 1:CVSS 指标组
基础评价指标组表示漏洞的固有特征,这些特征在一段时间内和用户环境中保持不变。它由两组指标组成:可利用度评价和影响指标。
可利用度评价反映了利用漏洞的难易程度和技术手段。也就是说,它们代表了脆弱的对象的特征,我们将其正式称为脆弱组件。影响指标反映了成功利用的直接后果,并代表了遭受影响的事物的后果,我们正式将其称为受影响组件。
虽然脆弱组件通常是软件应用程序、模块、驱动程序等(或可能是硬件设备),但受影响组件可能是软件应用程序、硬件设备或网络资源。这种衡量漏洞影响的潜力,而不是脆弱组件,是 CVSS v3.0 引入的一个关键功能。此属性由 Scope 指标捕获,稍后将对此进行讨论。
临时衡量指标组反映了漏洞的特征,这些特征可能会随时间而变化,但不会随用户环境而变化。例如简单易用的漏洞利用工具包的存在将提高 CVSS 分值,而创建官方补丁则会降低该分值。
“环境”衡量指标组表示与特定用户环境相关且唯一的漏洞特征。考虑因素包括是否存在安全控制,这些控制可以减轻成功攻击的部分或全部后果,以及脆弱的系统在技术基础架构中的相对重要性。
CVSS评分
当分析师为基础评价配值时,基本方程计算分值
范围从 0.0 到 10.0,如图 2 所示。
图 2:CVSS 指标和公式
具体而言,基础方程是根据两个子方程推导的:可利用性子分值方程和影响子分值方程。可利用性子分值等式派生自基本可利用度评价,而影响子评分等式派生自基础评价。
然后,可以通过对”生命周期”和“环境”指标进行评分来优化基础评价,以便更准确地反映漏洞在特定时间点对用户环境造成的相对严重性。对生命周期评价和环境评价进行评分不是必需的,但建议进行更精确的评分。
通常,基础评价和生命周期评价由漏洞公告分析师、安全产品供应商或应用程序供应商指定,因为它们通常具有有关漏洞特征的准确信息。环境评价由最终用户组织指定,因为他们最能够评估漏洞在自己的计算环境中的潜在影响。
SC或 CVSS 指标还会生成一个向量字符串,该字符串是用于对漏洞进行评分的指标值的文本表示形式。此向量字符串是一个特定格式的文本字符串,包含分配给每个指标的每个值,应始终与漏洞评分一起显示。
请注意,所有指标都应在攻击者已找到并识别漏洞的假设下进行评分。也就是说,分析人员无需考虑识别漏洞的方法。此外,许多不同类型的主体可能会对漏洞进行评分(例如软件供应商,漏洞分析师,安全产品供应商),但请注意,漏洞评分旨在与个人及其组织无关。
资料来源:https://www.first.org/cvss/v3.1/specification-document |
|
发 帖
发表于 2022-11-27 17:46:03