Поиск по сайту:

Как ранжируются уязвимости безопасности? (ЦВСС)

Если вы читали об ошибках безопасности в Интернете, вы, вероятно, сталкивались с оценками, присваиваемыми эксплойтам. Они оцениваются на основе общей системы оценки уязвимостей, используемой для классификации эксплойтов в базе данных общих уязвимостей и рисков. Мы обсудим, что составляет счет.

Что влияет на оценку?

Общая базовая оценка ранжируется от 0 до 10 и состоит из трех подоценок: возможность использования, влияние и охват. Чем ниже показатель эксплуатационной пригодности, тем хуже, как и выше показатель воздействия. Эксплойт, который может быть легко использован кем угодно по сети и имеет большое влияние, будет критическим, а эксплойт, который требует физического доступа или взаимодействия с пользователем и не делает многого, будет очень низким.

Эксплуатируемость относится к тому, насколько легко уязвимость может быть использована злоумышленником. Чем меньше вещей требуется от злоумышленника, тем легче его использовать. Для этого есть четыре компонента:

  • Вектор атаки – это то, какое сетевое отношение злоумышленник должен иметь к источнику, чтобы использовать эксплойт. Самый простой и серьезный — это Network, что означает, что эксплойт может использовать любой, у кого есть публичный доступ. Смежный означает, что злоумышленник должен находиться в общей сети, а локальный означает локальную сеть. Физический требует прямого взаимодействия и часто взаимодействия с пользователем.
  • Сложность атаки означает нечто большее, чем просто ее сложность. Более высокая сложность атаки означает, что для использования уязвимости в нужных местах должно быть больше элементов. Низкая сложность означает, что эксплойт можно использовать в самых разных системах.
  • Требуются права. Нет означает, что ею может воспользоваться кто угодно в Интернете,
    Низкий уровень означает, что у злоумышленника есть какая-то авторизация, а высокий означает, что пользователь должен иметь расширенные привилегии, чтобы использовать его.
  • Взаимодействие пользователя, независимо от того, должна ли цель что-то сделать, чтобы эксплойт сработал. Эта метрика является бинарной, либо требуется взаимодействие, либо нет.

Воздействие относится к тому, насколько серьезен эксплойт и насколько сильно он влияет на целевую систему. Он состоит из трех компонентов:

  • Конфиденциальность или несанкционированное чтение (т. е. дает ли атака доступ к ресурсам, которые должны быть закрытыми). Низкий уровень – это базовое раскрытие некоторой личной информации, а высокий уровень означает, что могут быть раскрыты серьезные данные (часто данные клиентов).
  • Целостность или несанкционированная запись. Низкий означает, что злоумышленник может записывать в определенные файлы, а высокий дает злоумышленнику доступ для записи ко всему, что находится в области действия цели.
  • Доступность означает, может ли эксплойт привести к остановке приложения, включая, помимо прочего, векторы DDoS-атак. Низкий уровень означает, что части приложения могут отключаться, а высокий уровень означает, что большая часть или все приложение может быть отключено с помощью эксплойта. Это другое. Конфиденциальность и целостность относятся к данным, используемым приложением, а доступность относится к работе самой службы. В некоторых сценариях это может совпадать с Integrity: эксплойт, предоставляющий злоумышленникам полный доступ для записи в систему, также может дать им возможность удалить само приложение.

Наконец, Область действия. Этот вопрос немного сложнее, но в основном он относится к тому, предоставляет ли эксплойт доступ к ресурсам, находящимся вне контроля цели, обычно за пределами изолированной программной среды или барьера безопасности. Руководство CVSS определяет это как «когда механизм границы безопасности, разделяющий компоненты, обходит из-за уязвимости, и это вызывает влияние на безопасность за пределами области безопасности уязвимого компонента».

Примеры этого включают уязвимость в виртуальной машине, позволяющую осуществлять запись на хост, уязвимости в микропроцессорах, дающие доступ к другим потокам, межсайтовые сценарии или атаки с перенаправлением URL-адресов, которые могут дать доступ к браузеру пользователя, и выход из песочницы).

В конечном итоге все сводится к одной оценке и описанию типа «Высокий» или «Критический», описывающему общую серьезность.

Наряду со счетом вы часто будете видеть векторную строку, которая сначала выглядит запутанной, но на самом деле это просто сокращенные пары ключ-значение для каждого компонента.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

На самом деле вы можете взять любую векторную строку и загрузить ее в калькулятор после хэштега, чтобы получить лучшее представление о ней:

https://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Другая основная оценка — это временная оценка, которая отслеживает, как серьезность эксплойта меняется с течением времени. Это включает в себя зрелость кода (если эксплойт используется на практике), наличие каких-либо исправлений и степень уверенности издателя в деталях эксплойта.