CVSS: Common Vulnerability Scoring System
A Common Vulnerability Scoring System (röviden CVSS pontszámok) egy számértékes (0-10) reprezentációt biztosít egy információbiztonsági sebezhetőség súlyosságáról. Az infosec csapatok általában a CVSS pontszámokat használják a sérülékenységvizsgálatok, a penetrációs tesztek és a sérülékenységmenedzsment során, hogy összehasonlítsák és prioritást adjanak a sebezhetőségek megszüntetési sorrendjében.
A CVSS egy nyílt keretrendszer, amelyet egy amerikai alapítvány, a Forum of Incident Response and Security Teams (FIRST) tart karban. Bár a sebezhetőségek osztályozása egy nyílt, szabványosított módszer alapján elengedhetetlen, fontos felismerni a CVSS korlátait és hátrányait annak érdekében, hogy megfelelően alkalmazzák a szervezetben.
CVSSv2 vs. CVSSv3
A CVSS a harmadik fő verzióján van túl, amelyet az előző verzió (v2) hiányosságainak orvoslására terveztek. A legjelentősebb változás, hogy a 3-as verzió megvizsgálja azokat a jogosultságokat, amelyekre szükség van egy sebezhetőség kihasználásához, valamint az elkövető képességét a rendszeren közötti terjedésre (pivoting) egy exploitálás után.
CVSS Score Metrics
A CVSS pontszám három adatpont (Base, Temporal, Environmental) összetevőből áll, mindegyiknek van egy alapértékelési eleme.
CVSS Base Metrics
Az Alap faktorok jellemzik magát a sebezhetőséget. Ezek a tulajdonságok idővel nem változnak, és nem függenek attól, hogy a való világban milyen mértékben kihasználhatóak, vagy a vállalat által alkalmazott ellensúlyozó tényezőktől, amelyek megakadályozzák a kihasználást. A súlyosságról szóló nyilvános rangsorok, mint például a NIST Nemzeti Sebezhetőségi Adatbázisában (NVD) felsoroltak, kizárólag az Alap CVSS pontszámokra vonatkoznak.
Az Alap CVSS pontszámok könnyű hozzáférhetősége csábító kiindulópontot jelent a javítási prioritások meghatározásához, de korlátozott hasznossággal bír, mivel nem veszi figyelembe a való világban történő kihasználásokat, a javítások elérhetőségét, vagy a szervezet által alkalmazott egyéb környezeti vagy enyhítő kontrollokat.
A CVSS Alap metrikái három alpontból állnak - Kihasználhatóság, Hatókör és Hatás.
Exploitability
Attack Vector: Ez a pontszám a sérülékenység kihasználásához szükséges hozzáférés szintjétől függően változik. Az érték magasabb lesz azon támadások esetében, amelyeket távolról lehet végrehajtani (például egy vállalat hálózatán kívülről), mint azoknál a támadásoknál, amelyek fizikai jelenlétet igényelnek (például hozzáférésre van szükség egy eszköz fizikai portjához, vagy egy helyi hálózathoz).
Attack Complexity: Ez a pontszám a támadó befolyásán kívül eső tényezők alapján változik, amelyek a sebezhetőség kihasználásához szükségesek. A pontszám magasabb lesz az olyan támadások esetében, amelyek a támadó részéről többletmunkát igényelnek, mint például egy megosztott titkos kulcs ellopása, vagy egy man-in-the-middle támadás, mint egy olyan támadás esetében, amely nem igényel ilyen többletmunkát.
Privileges Required: Ez a pontszám a szükséges jogosultságoktól függ, amelyekkel az adott támadónak rendelkeznie kell az sebezhetőség kihasználásához. Egy olyan sebezhetőség, amelyhez adminisztrátori jogosultságok szükségesek, magasabb pontszámot kap, mint egy olyan támadás, amelyhez nem szükséges hitelesítés vagy bármilyen jogosultság növelése.
User Interaction: Ez a pontszám arra vonatkozik, hogy a támadónak szüksége van-e egy olyan felhasználóra, aki tudatosan vagy tudtán kívül segíti a támadást. A pontszám magasabb lesz, ha a támadó felhasználói interakció nélkül is sikeresen elvégezheti a támadást.
Scope: A Scope azzal kapcsolatos, hogy az egyik komponensben található sebezhetőség kihathat-e más komponensekre. A Scope pontszáma magasabb, ha a terjedés lehetséges. A Scope példái közé tartozik a szoftverben található sebezhetőség kihasználása után a futtató operációs rendszer elérésének és kihasználásának képessége, vagy egy webkiszolgáló sebezhetőségének sikeres kihasználása után az adatbázis elérése az alkalmazás backendjén.
Impact
Confidentiality: Ez a pontszám attól függ, hogy a támadó milyen mennyiségű adathoz fér hozzá. Magasabb lesz, ha a támadó az érintett rendszer összes adatához hozzáférhet, alacsonyabb, ha semmilyen adathoz nem fér hozzá.
Integrity: Ez a pontszám attól függ, hogy a támadó képes-e módosítani vagy megváltoztatni az adatokat az érintett rendszerben. Ha az adatok teljes vagy súlyos következményekkel járó módosítása lehetséges, a pontszám annál magasabb lesz.
Availability: Ez a pontszám a kompromittált rendszer rendelkezésre állásának elvesztése alapján változik. A pontszám akkor lesz magas, ha a rendszer a támadás következtében az engedélyezett felhasználók számára már nem elérhető vagy használható.
CVSS Temporal Metrics
Exploit Code Maturity: Amíg nem létezik módszer egy sebezhetőség kihasználására, addig az viszonylag ártalmatlan. Mint a legtöbb szoftver esetében, a kihasználáshoz rendelkezésre álló kód is kiforrottá, idővel stabilabbá és szélesebb körben elérhetővé válik. Ahogy ez megtörténik, az ezen alkomponensre kapott pontszám emelkedni fog.
Remediation Level: Amikor egy sebezhetőséget először fedeznek fel, előfordulhat, hogy nem áll rendelkezésre javítás vagy más megoldás. Idővel elérhetővé válnak a megoldások, ideiglenes javítások és végül a hivatalos javítások, ami a javítás javulásával csökkenti a sebezhetőségi pontszámot.
Report Confidence: A bizalom azt az érvényesítési szintet méri, amely bizonyítja, hogy a sebezhetőség valós és kihasználható.
CVSS Environmental Metrics
Security Requirements: A biztonsági követelmények a szóban forgó eszköz kritikusságát jellemzik. A kritikus adatok vagy eszközök magasabb pontszámot kapnak, mint a kevésbé fontos eszközök. Például az összes ügyféladatot tartalmazó adatbázisban azonosított sebezhetőség magasabb pontszámot kapna, mint egy alacsony privilégium szinten lévő felhasználó munkaállomásán azonosított sebezhetőség.
Modified Base Metric: Egy szervezet dönthet úgy, hogy módosítja a CVSS bázismérőszámok értékeit az általa bevezetett védelmi intézkedések alapján. Például egy kiszolgáló fizikai leválasztása vagy a külső hálózati kapcsolatok lezárása megakadályozza, hogy a támadó kihasználhasson egy olyan sebezhetőséget, amely egyébként távolról elérhető lenne. Ennek eredményeképpen a támadásvektor bázismérőszám ebben az esetben csökken.
CVSS Qualitative Ratings
Néha hasznos, különösen a kevésbé technikai érdeklődőkkel való megbeszélés céljából, a 0-10 CVSS-pontszámokat minőségi minősítésekre leképezni. A FIRST a CVSS-pontszámokat a következőképpen rendeli hozzá a minőségi minősítésekhez:
CVSS Score Qualitative Rating
0.0 None
0.1 – 3.9 Low
4.0 – 6.9 Medium
7.0 – 8.9 High
9.0 – 10 Critical
Korlátok
Amint már említettük, a nyilvánosan elérhető CVSS pontszámok csak a Base Scores (bázis pontszámok). Ezek a sebezhetőség súlyosságát mutatják, de nem tükrözik azt a kockázatot, amelyet a sebezhetőség az Ön környezetére jelent. Más szóval, a CVSS arra a kérdésre ad választ, hogy "Ez veszélyes?", de arra nem, hogy "Veszélyes-e a vállalatomra nézve?".
Tekintettel a tipikus szervezetekkel szemben álló sebezhetőségek nagy (és növekvő) számára, a hatékony sérülékenységmenedzsmentnek nemcsak az alappontszámot, hanem az időbeli és környezeti tényezőket is figyelembe kell vennie. Ehhez a részhez a FIRST biztosítja a keretrendszert, de a NIST nem tud segíteni a CVSS-pontszámnak ezekre a tényezőkre való szabásában, mivel ezekhez első kézből származó ismeretekre van szükség az eszközök üzleti kritikusságáról, a mitigációs lehetőségek azonosításáról, a szóban forgó eszköz használatáról és a sebezhetőség valós kihasználhatóságáról. A biztonsági csapat hatékonyságának maximalizálásához a sebezhetőségek kezelésének kockázatalapú megközelítése szükséges, amely figyelembe veszi ezeket a tényezőket.