Система оценки общих уязвимостей

редактировать

Система оценки общих уязвимостей (CVSS ) является бесплатной и открытый отраслевой стандарт для оценки серьезности безопасности компьютерных систем уязвимостей. CVSS пытается присвоить степени серьезности уязвимостям, позволяя респондентам определять приоритеты ответов и ресурсов в соответствии с угрозой. Баллы рассчитываются по формуле, которая зависит от нескольких показателей , которые приблизительно определяют простоту использования и влияние эксплойта. Оценки варьируются от 0 до 10, причем 10 - наиболее серьезное заболевание. Хотя многие используют только базовый балл CVSS для определения серьезности, также существуют временные баллы и баллы по окружающей среде, чтобы учесть доступность смягчающих мер и степень распространения уязвимых систем в организации, соответственно.

Текущая версия CVSS (CVSSv3.1) была выпущена в июне 2019 года.

Содержание

1 История
2 Терминология
3 Версия 2
- 3.1 Базовые метрики
  - 3.1.1 Вектор доступа
  - 3.1.2 Сложность доступа
  - 3.1.3 Аутентификация
- 3.2 Показатели воздействия
  - 3.2.1 Конфиденциальность
  - 3.2.2 Целостность
  - 3.2.3 Доступность
- 3.3 Расчеты
  - 3.3.1 Пример
- 3.4 Временные метрики
  - 3.4.1 Возможности использования
  - 3.4.2 Уровень исправления
  - 3.4.3 Достоверность отчета
  - 3.4.4 Расчеты
    - 3.4.4.1 Пример
- 3.5 Показатели окружающей среды
  - 3.5.1 Потенциал сопутствующего ущерба
  - 3.5.2 Целевое распределение
  - 3.5.3 Модификатор оценки воздействия
  - 3.5.4 Расчеты
    - 3.5.4.1 Пример
- 3.6 Критика версии 2
4 Версия 3
- 4.1 Изменения по сравнению с версией 2
  - 4.1.1 Базовые метрики
  - 4.1.2 Временные метрики
  - 4.1.3 Экологические метрики
- 4.2 Критика версии 3
5 Версия 3.1
6 Принятие
7 См. также
8 Ссылки
9 Внешние ссылки

История

Исследование Национальный консультативный совет по инфраструктуре (NIAC) в 2003/2004 г. привел к запуску CVSS версии 1 (CVSSv1) в феврале 2005 г., цель которой - «обеспечивать открытые и универсальные стандартные рейтинги серьезности программного обеспечения. уязвимости ». Этот первоначальный проект не подвергался экспертной оценке или рецензированию другими организациями. В апреле 2005 года NIAC выбрал Forum of Incident Response and Security Teams (), чтобы стать хранителем CVSS для будущих разработок.

Отзывы от поставщиков, использующих CVSSv1 в производственной среде, предполагали наличие «серьезных проблем с первоначальным проектом CVSS ". Работа над CVSS версии 2 (CVSSv2) началась в апреле 2005 года, а окончательная спецификация была выпущена в июне 2007 года.

Дальнейшие отзывы привели к тому, что работа над CVSS версии 3 началась в 2012 году и завершилась выпуском CVSSv3.0 в июне. 2015.

Терминология

Оценка CVSS измеряет три проблемных области:

Базовые метрики для качеств, присущих уязвимости
Временные метрики для характеристик, которые развиваются в течение срока службы. уязвимости
Показатели среды для уязвимостей, которые зависят от конкретной реализации или среды

Для каждой из этих групп показателей создается числовая оценка. Векторная строка (или просто «вектор» в CVSSv2) представляет значения всех показателей в виде блока текста.

Версия 2

Полная документация по CVSSv2 доступна от FIRST. Резюме представлено ниже.

Базовые метрики

Вектор доступа

Вектор доступа (AV) показывает, как можно использовать уязвимость.

Значение	Описание	Оценка
Локальный (L)	Злоумышленник должен иметь физический доступ к уязвимой системе (например, атаки Firewire ) или локальной учетной записи (например, атака повышения привилегий ).	0,395
Смежная сеть (A)	Злоумышленник должен иметь доступ к широковещательной рассылке. или домен конфликтов уязвимой системы (например, подмена ARP, атаки Bluetooth).	0,646
Сеть (N)	Уязвимый интерфейс работает на уровне 3 или выше сетевого стека OSI. Эти типы уязвимостей часто описываются как доступные для удаленного использования (например, переполнение удаленного буфера в сетевой службе)	1.0

Сложность доступа

Метрика сложности доступа (AC) описывает, насколько легко или просто Обнаруженную уязвимость сложно использовать.

Значение	Описание	Оценка
Высокое (H)	Существуют специальные условия, такие как состояние гонки с узким окном, или требование для методов социальной инженерии, которые легко заметят знающие люди.	0,35
Среднее (M)	Есть некоторые дополнительные требования для атаки, например ограничение источника атаки или требование, чтобы уязвимая система работала с необычной конфигурацией, отличной от конфигурации по умолчанию.	0,61
Низкая (L)	Не существует особых условий для использования уязвимости, например, когда система доступна большому количеству пользователей или уязвимая конфигурация является повсеместной.	0,71

Аутентификация

Метрика аутентификации (Au) описывает, сколько раз злоумышленник должен пройти аутентификацию на цели, чтобы воспользоваться ею. Он не включает (например) аутентификацию в сети для получения доступа. Для уязвимостей, которые можно использовать локально, это значение должно быть установлено на Single или Multiple, только если после первоначального доступа требуется дополнительная аутентификация.

Значение	Описание	Оценка
Несколько (M)	Использование уязвимости требует, чтобы злоумышленник прошел аутентификацию два или более раз, даже если те же учетные данные используются каждый раз.	0,45
Одиночный (S)	Злоумышленник должен пройти аутентификацию один раз, чтобы воспользоваться уязвимостью.	0,56
Нет (N)	Злоумышленнику не требуется проходить аутентификацию.	0,704

Метрики воздействия

Конфиденциальность

Метрика конфиденциальности (C) описывает влияние на конфиденциальность данных, обрабатываемых системой.

Значение	Описание	Оценка
Нет (N)	Не влияет на конфиденциальность системы.	0,0
Частично (P)	Информация раскрывается в значительной степени, но объем потерь ограничен таким образом, что не все данные доступны.	0,275
Завершено (C)	Полное раскрытие информации, обеспечивающее доступ к любым / всем данным в системе. В качестве альтернативы предоставляется доступ только к некоторой ограниченной информации, но раскрытая информация оказывает прямое серьезное влияние.	0,660

Целостность

Показатель целостности (I) описывает влияние на целостность эксплуатируемой системы.

Значение	Описание	Оценка
Нет (N)	Не влияет на целостность системы.	0,0
Частичное (P)	Изменение некоторых данных или системных файлов возможно, но объем модификации ограничен.	0,275
Полное (C)	Полная потеря целостности; злоумышленник может изменить любые файлы или информацию в целевой системе.	0,660

Доступность

Метрика доступности (A) описывает влияние на доступность целевой системы. Атаки, которые потребляют пропускную способность сети, циклы процессора, память или любые другие ресурсы, влияют на доступность системы.

Значение	Описание	Оценка
Нет (N)	Не влияет на доступность системы.	0,0
Частичная (P)	Сниженная производительность или потеря некоторых функциональных возможностей.	0,275
Полная (C)	Полная потеря доступности атакованный ресурс.	0,660

Расчеты

Эти шесть показателей используются для расчета под-баллов уязвимости и воздействия. Эти промежуточные баллы используются для расчета общей базовой оценки.

$Эксплуатация = 20 × AccessVector × AttackComplexity × Аутентификация {\ displaystyle {\textf {Exploitability}} = 20 \ times {\textf {AccessVector}} \ times {\textf {AttackComplexity}} \ times {\textf {Authentication} }}$ ${\ displaystyle {\textf {Exploitability}} = 20 \ times {\ textf {AccessVector}} \ times {\ textf {AttackComplexity}} \ times {\textf {Аутентификация }}}$

$Воздействие = 10,41 × (1 - (1 - ConfImpact) × (1 - IntegImpact) × (1 - AvailImpact)) {\ displaystyle {\textf {Impact}} = 10,41 \ times (1- (1- {\textf {ConfImpact}}) \ times (1 - {\textf {IntegImpact}}) \ times (1 - {\textf {AvailImpact}}))}$ ${\ displaystyle {\textf {Impact}} = 10,41 \ times (1- (1 - {\ textf {ConfImpact}}) \ times (1 - {\ textf {IntegImpact}}) \ times (1 - {\textf {AvailImpact}}))}$

$f (Impact) = {0, если Impact = 0 1.176, иначе {\ displaystyle f ({\textf {Impact}}) = {\ begin {cases} 0, {\ text {if}} {\textf {Impact}} {\ text {= 0}} \ \ 1.176, {\ text {else}} \ end {cases}}}$ ${\ displaystyle f ( {\textf {Impact}}) = {\ begin {case} 0, {\ text {if}} {\ textf {Impact}} {\ text {= 0}} \\ 1.176, {\ text {else}} \ end {cases}}}$

$BaseScore = roundTo1Decimal (((0,6 × влияние) + (0,4 × возможность использования) - 1,5) × f (влияние)) {\ displaystyle { \textf {BaseScore}} = {\textf {roundTo1Decimal}} (((0,6 \ times {\ textf {Impact}}) + (0,4 \ times {\textf {Exploitability}}) - 1,5) \ times f ({\ textf {Impact}}))}$ ${\ displaystyle {\textf {BaseScore}} = {\textf {roundTo1Decimal}} (((0,6 \ times {\ textf {Impact}}) + (0,4 \ times {\ textf {возможность использования}}) - 1,5) \ times f ({\textf {Impact}}))}$

Метрики объединяются для создания вектора CVSS для t он уязвимость.

Пример

Уязвимость, связанная с переполнением буфера, затрагивает программное обеспечение веб-сервера, что позволяет удаленному пользователю получить частичный контроль над системой, включая возможность ее выключения:

Метрика	Значение	Описание
Вектор доступа	Сеть	Доступ к уязвимости можно получить из любой сети, которая может получить доступ к целевой системе - обычно ко всей Интернет
Сложность доступа	Низкая	Нет особых требований для доступа
Аутентификация	Нет	Нет требований для аутентификации в для использования уязвимости
Конфиденциальность	Частичная	Злоумышленник может читать некоторые файлы и данные в системе
Целостность	Частичная	Злоумышленник может изменить некоторые файлы и данные в системе.
Доступность	Завершить	Злоумышленник может сделать систему и веб-службу недоступными / невосприимчивыми, выключив систему

Это бы дайте промежуточную оценку уязвимости 10 и промежуточную оценку воздействия 8,5, что дает общую базовую оценку 9,0. Вектор для базовой оценки в этом случае будет AV: N / AC: L / Au: N / C: P / I: P / A: C. Оценка и вектор обычно представлены вместе, чтобы получатель мог полностью понять природу уязвимости и при необходимости рассчитать свой собственный экологический балл.

Временные метрики

Значение временных метрик меняется в течение срока действия уязвимости по мере разработки, раскрытия и автоматизации эксплойтов, а также по мере появления средств смягчения и исправлений.

Эксплуатационная способность

Метрика эксплуатируемости (E) описывает текущее состояние методов эксплуатации или автоматизированного кода эксплуатации.

Значение	Описание	Оценка
Непроверено (U)	Код эксплойта недоступен или эксплойт теоретический	0.85
Proof-of-concept (P)	Проверочный код эксплойта или демонстрационные атаки доступны, но не практичны для широкого использования. Не работает против всех экземпляров уязвимости.	0.9
Функциональный (F)	Функциональный код эксплойта доступен и работает в большинстве ситуаций, где присутствует уязвимость.	0,95
Высокое (H)	Уязвимость может быть использована с помощью автоматического кода, включая мобильный код (например, червь или вирус).	1.0
Не определено ( ND)	Это сигнал игнорировать эту оценку.	1.0

Уровень исправления

Уровень исправления (RL) уязвимости позволяет получить временную оценку уязвимость будет уменьшаться по мере появления средств защиты и официальных исправлений.

Значение	Описание	Оценка
Официальное исправление (O)	Доступно полное решение поставщика - либо патч, либо обновление.	0,87
Временное исправление (T)	Существует официальное, но временное исправление / смягчение последствий, доступное от поставщика.	0,90
Временное решение (W)	Доступно неофициальное решение или средство защиты от сторонних производителей, которое может быть разработано или предложено пользователями затронутого продукта или другой третьей стороной.	0,95
Недоступно (U)	Там нет решения или невозможно применить предложенное решение. Это обычное начальное состояние уровня исправления, когда обнаруживается уязвимость.	1.0
Не определено (ND)	Это сигнал игнорировать эту оценку.	1.0

Достоверность отчета

Доверие отчета (RC) уязвимости измеряет уровень уверенности в существовании уязвимости, а также достоверность технических деталей уязвимости.

Значение	Описание	Оценка
Неподтвержденный (UC)	Один неподтвержденный источник или несколько конфликтующих источников. Об уязвимости по слухам.	0,9
неподтвержденный (UR)	Множество источников, которые в целом согласны - может быть уровень неопределенности в отношении уязвимости	0,95
Подтверждено (C)	Подтверждено и подтверждено поставщиком или производителем затронутого продукта.	1.0
Не определено (ND)	Это сигнал для игнорирования	1.0

Вычисления

Эти три показателя используются вместе с базовой оценкой, которая уже была рассчитана для получения временной оценки уязвимости со связанным с ней вектором. ( {\textf {BaseScore}} \ times {\textf {Exploitability}} \ times {\ textf {RemediationLevel}} \ times {\ textf {ReportConfidence}})} ${\ displaystyle {\textf {TemporalScore}} = {\textf {roundTo1Decimal}} ({\textf {BaseScore}} \ times {\textf {Возможность использования}} \ times {\textf {RemediationLevel }} \ times {\ textf {ReportConfidence}})}$

Пример

Чтобы продолжить В приведенном выше примере, если поставщик был впервые проинформирован об уязвимости путем публикации кода подтверждения концепции в списке рассылки, начальная временная оценка будет рассчитана с использованием значений, показанных ниже:

Metric	Значение	Описание
Возможность взлома	Доказательство концепции	Доказательство концепции, неавтоматический код предоставлен для демонстрации основных функций эксплойта.
Уровень исправления	Недоступен	Поставщик еще не имел возможности предоставить смягчение или исправление.
Доверие к отчету	Неподтверждено	Имеется единственный отчет об уязвимости

Это дает временную оценку 7,3 с временным вектором E: P / RL: U / RC: UC (или полный вектор AV: N / AC: L / Au: N / C: P / I: P / A: C / E: P / RL: U / RC: UC).

Если затем поставщик подтверждает наличие уязвимости, оценка повышается до 8,1 с временным вектором E: P / RL: U / RC: C

Временное исправление от поставщика уменьшит оценка вернулась к 7,3 (E: P / RL: T / RC: C), в то время как официальное исправление уменьшило бы ее до 7,0 (E: P / RL: O / RC: C). Поскольку невозможно быть уверенным в том, что каждая уязвимая система была исправлена или исправлена, временная оценка не может снизиться ниже определенного уровня в зависимости от действий поставщика и может увеличиться, если будет разработан автоматический эксплойт для уязвимости.

Показатели окружающей среды

Метрики окружающей среды используют базовую и текущую временную оценку для оценки серьезности уязвимости в контексте развертывания уязвимого продукта или программного обеспечения. Этот показатель рассчитывается субъективно, как правило, заинтересованными сторонами.

Потенциал сопутствующего ущерба

Показатель потенциального сопутствующего ущерба (CDP) измеряет потенциальные убытки или воздействие на физические активы, такие как оборудование (и жизни), или финансовые последствия для пострадавшей организации, если уязвимость эксплуатируется.

Значение	Описание	Оценка
Нет (N)	Отсутствие возможности потери собственности, дохода или производительности	0
Низкое (L)	Незначительное повреждение активов или незначительная потеря дохода или производительности	0,1
Низкое-среднее (LM)	Умеренное повреждение или потеря	0,3
Средне-высокий (MH)	Значительный ущерб или потеря	0,4
Высокий (H)	Катастрофический ущерб или потеря	0,5
Не определено (ND)	Это сигнал игнорировать эту оценку.	0

Целевое распределение

Метрика целевого распределения (TD) измеряет долю уязвимых систем в среде.

Значение	Описание	Оценка
Нет (N)	Целевых систем не существует или они существуют только в лабораторных условиях	0
Низкое (L)	1-25% систем с риском	0,25
Среднее (M)	26-75% систем с риском	0,75
Высокая (H)	76–100% систем, подверженных риску	1.0
Не определено (ND)	Это сигнал игнорировать эту оценку.	1.0

Модификатор дополнительной оценки воздействия

Три дополнительных показателя оценивают особые требования безопасности для конфиденциальности (CR), целостности (IR) и доступности (AR), позволяя получить оценку среды. -настроен в соответствии с окружением пользователей.

Значение	Описание	Оценка
Низкое (L)	Утрата (конфиденциальности / целостности / доступности), вероятно, будет иметь лишь ограниченное влияние на	0,5
Средняя (M)	Утрата (конфиденциальности / целостности / доступности) может иметь серьезные последствия для организации.	1,0
Высокая (H)	Потеря (конфиденциальности / целостности / доступности) может иметь катастрофические последствия для организации.	1.51
Не определено (ND)	Это сигнал игнорировать эту оценку.	1.0

Расчеты

Пять экологических показателей используются вместе с ранее оцененными базовыми и временными показателями для расчета экологической оценки. и создать соответствующий экологический вектор.

$AdjustImpact = min (10, 10,41 × (1 - (1 - ConfImpact × ConfReq) × (1 - IntegImpact × IntegReq) × (1 - AvailImpact × AvailReq))) {\ displaystyle {\ textf {AdjustedImpact}} = \ min (10,10,41 \ times (1- (1 - {\textf {ConfImpact}} \ times {\ textf {ConfReq}}) \ times (1 - {\textf {IntegImpact}} \ times {\ textf {IntegReq) }}) \ times (1 - {\ textf {AvailImpact}} \ times {\ textf {AvailReq}})))}$ ${\ displaystyle {\ textf {AdjustedImpact}} = \ min (10,10,41 \ times (1- (1 - {\textf {ConfImpact} } \ times {\ textf {ConfReq}}) \ times (1 - {\textf {IntegImpact}} \ times {\textf {IntegReq}}) \ times (1 - {\textf {AvailImpact}} \ times {\ textf {AvailReq}})))}$

$AdjustedTemporal = TemporalScore, повторно вычисленное с помощью подуравнения воздействия BaseScore s, замененного уравнением AdjustedImpact {\ displaystyle {\textf {AdjustedTemporal}} = {\textf {TemporalScore}} {\ text {пересчитано с помощью}} {\textf {BaseScore}} {\ text {s}} {\textf {Impact}} {\ text { подуравнение заменено на}} {\ textf {AdjustedImpact}} {\ text {уравнение}}}$ ${\ displaystyle {\textf {AdjustedTemporal}} = {\textf {TemporalScore}} {\ text {пересчитано с помощью}} {\textf {BaseScore}} {\ text {s}} {\textf {Impact}} {\ text {подуравнение заменено}} {\ textf {AdjustedImpact}} {\ text {уравнением}}}$

$EnvironmentalScore = roundTo1Decimal ((AdjustTemporal + (10 - AdjustedTemporal) × CollateralDamagePotential) × TargetDistribution) {\ displaystyle {\ textf {EnvironmentalScore}} = {\textf {roundTo1Decimal}} (({\textf {AdjusttedTempor al}} + (10 - {\textf {AdjustedTemporal}}) \ times {\ textf {CollateralDamagePotential}}) \ times {\ textf {TargetDistribution}})}$ ${\ displaystyle {\ textf {EnvironmentalScore}} = {\textf {roundTo1Decimal}} (({\textf {AdjustedTemporal}} + (10 - {\textf {AdjustedTemporal}}) \ times {\ textf {CollateralDamagePotential}}) \ times {\ textf {TargetDistribution}})}$

Пример

Если вышеупомянутая уязвимость веб-сервер использовался банком для предоставления услуг онлайн-банкинга, и временное исправление было доступно от поставщика, тогда оценка состояния окружающей среды могла быть оценена как:

Показатель	Значение	Описание
Потенциал сопутствующего ущерба	Средний-Высокий	Это значение будет зависеть от того, к какой информации злоумышленник сможет получить доступ при использовании уязвимой системы. В этом случае я предполагаю, что доступна некоторая личная банковская информация, поэтому это оказывает значительное влияние на репутацию банка.
Целевое распределение	Высокое	Все веб-серверы банка запускают уязвимое программное обеспечение.
Требование конфиденциальности	Высокое	Клиенты ожидают, что их банковская информация будет конфиденциальной.
Требование целостности	Высокое	Финансовая и личная информация не должна изменяться без разрешения.
Требование доступности	Низкое	Отсутствие банковских услуг через Интернет, вероятно, доставит неудобства клиентам, но не станет катастрофой.

Это дало бы экологическую оценку 8,2 и экологический вектор CDP: MH / TD: H / CR: H / IR: H / AR: L. Этот рейтинг находится в диапазоне 7,0–10,0 и, следовательно, представляет собой критическую уязвимость в контексте бизнеса затронутого банка.

Критика версии 2

Некоторые поставщики и организации выразили неудовлетворенность CVSSv2.

Risk Based Security, которая управляет базой данных уязвимостей с открытым исходным кодом, и Open Security Foundation совместно опубликовали открытое письмо FIRST относительно недостатков и сбоев CVSSv2. Авторы указали на отсутствие детализации в нескольких показателях, что приводит к векторам и оценкам CVSS, которые не позволяют должным образом различать уязвимости разных типов и профилей риска. Было также отмечено, что система оценки CVSS требует слишком много знаний о точном воздействии уязвимости.

Oracle представила новое значение метрики «Частичная +» для конфиденциальности, целостности и доступности, чтобы заполнить видимые пробелы в описании между частичным и полным в официальных спецификациях CVSS.

Версия 3

Для устранения некоторых из этих критических замечаний в 2012 году была начата разработка CVSS версии 3. Окончательная спецификация получила название CVSS v3.0 и выпущена в июне 2015 года. В дополнение к Документу спецификации, Руководству пользователя и Документу с примерами также были выпущены.

Некоторые показатели были изменены, добавлены и удалены. Числовые формулы были обновлены, чтобы включить новые показатели при сохранении существующего диапазона оценок от 0 до 10. Были определены оценки текстовой серьезности: нет (0), низкая (0,1-3,9), средняя (4,0-6,9), высокая (7,0-8,9) и критическая (9,0-10,0), аналогично категориям NVD, определенным для CVSS v2, которые не были частью этого стандарта.

Изменения по сравнению с версией 2

Базовые метрики

В базовом векторе новые метрики «Взаимодействие с пользователем» (UI) и требуемые привилегии (PR) были добавлены, чтобы помочь различать уязвимости, для использования которых требовалось вмешательство пользователя или права пользователя или администратора. Ранее эти концепции были частью метрики «Вектор доступа» CVSSv2. В базовом векторе также была представлена новая метрика Scope (S), которая была разработана, чтобы прояснить, какие уязвимости могут быть использованы, а затем использованы для атаки на другие части системы или сети. Эти новые показатели позволяют базовому вектору более четко выражать тип оцениваемой уязвимости.

Показатели конфиденциальности, целостности и доступности (C, I, A) были обновлены и теперь имеют оценки, состоящие из «Нет», «Низкий» или «Высокий», а не «Нет», «Частично», «Полно» в CVSSv2. Это обеспечивает большую гибкость при определении воздействия уязвимости на показатели ЦРУ.

Сложность доступа была переименована в Сложность атаки (AC), чтобы прояснить, что права доступа были перенесены в отдельную метрику. Эта метрика теперь описывает, насколько повторяемым может быть использование этой уязвимости; AC имеет высокий уровень, если злоумышленнику требуется точное время или другие обстоятельства (кроме взаимодействия с пользователем, что также является отдельной метрикой), которые не могут быть легко воспроизведены при будущих попытках.

В вектор атаки (AV) было включено новое значение показателя Physical (P), чтобы описать уязвимости, которые требуют физического доступа к устройству или системе для работы.

Временные показатели

Временные показатели практически не изменились по сравнению с CVSSv2.

Показатели окружающей среды

Метрики окружающей среды CVSSv2 были полностью удалены и заменены по существу второй базовой оценкой, известной как модифицированный вектор. Модифицированная база предназначена для отражения различий внутри организации или компании по сравнению с миром в целом. Были добавлены новые метрики, отражающие важность конфиденциальности, целостности и доступности для конкретной среды.

Критика версии 3

В сообщении в блоге от сентября 2015 года Координационный центр CERT обсудил ограничения CVSSv2 и CVSSv3.0 для использования при оценке уязвимостей в новых технологиях. таких систем, как Интернет вещей.

Версия 3.1

17 июня 2019 года было выпущено небольшое обновление CVSS. Целью CVSS версии 3.1 было прояснить и улучшить существующую CVSS Версия 3.0 без введения новых метрик или значений метрик, что позволяет без проблем принять новый стандарт как поставщиками скоринга, так и потребителями. Удобство использования было основным соображением при внесении улучшений в стандарт CVSS. Некоторые изменения, внесенные в CVSS v3.1, призваны улучшить ясность концепций, представленных в CVSS v3.0, и тем самым повысить общую простоту использования стандарта.

FIRST использовала мнения отраслевых экспертов для продолжения улучшения и совершенствования CVSS, чтобы она была более и более применима к уязвимостям, продуктам и платформам, разрабатываемым в течение последних 15 лет и позже. Основная цель CVSS - предоставить детерминированный и повторяемый способ оценки серьезности уязвимости во многих различных округах, позволяя потребителям CVSS использовать эту оценку в качестве входных данных для более широкой матрицы принятия решений по рискам, исправлению и смягчению последствий, специфичным для их особая среда и устойчивость к риску.

Обновления спецификации CVSS версии 3.1 включают уточнение определений и объяснение существующих базовых показателей, таких как вектор атаки, требуемые привилегии, объем и требования безопасности. Также был определен новый стандартный метод расширения CVSS, названный CVSS Extensions Framework, позволяющий провайдеру скоринга включать дополнительные метрики и группы метрик, сохраняя при этом официальные базовые, временные и экологические метрики. Дополнительные показатели позволяют таким отраслям, как конфиденциальность, безопасность, автомобилестроение, здравоохранение и т. Д., Оценивать факторы, выходящие за рамки основного стандарта CVSS. Наконец, Глоссарий терминов CVSS был расширен и уточнен, чтобы охватить все термины, используемые в документации CVSS версии 3.1.

Принятие

Версии CVSS были приняты в качестве основного метода для количественной оценки серьезности уязвимостей широким кругом организаций и компаний, включая:

Национальную базу данных уязвимостей (NVD)
База данных уязвимостей с открытым исходным кодом (OSVDB)
Координационный центр CERT, который, в частности, использует базовые, временные и экологические показатели CVSSv2

См. Также

Ссылки

Внешние ссылки