通用漏洞评分系统(CVSS)

本文最后更新于2017年6月30日,已超过 1 年没有更新,如果文章内容失效,还请反馈给我,谢谢!

=Start=

缘由:

了解CVE漏洞的评分机制,好在以后出现了漏洞的时候利用CVSS标准对该漏洞的实际影响进行评估,从而指导进行下一步操作。

正文:

参考解答:
CVSS的度量指标

CVSS由三个度量组:「基础-Base」,「时间-Temporal」和「环境-Environmental」组成,每一组又由一些度量指标组成,如下所示:

下面分别来解析各个度量指标的含义和意义:

基础度量组反映了一个漏洞的固有特征——它不随着时间和用户环境的变化而变化它由两组指标组成:可利用指标影响指标

可利用指标反映了漏洞可以被利用的简单程度和技术手段。也就是说,它们代表了漏洞易受利用的特征,我们把它称为脆弱的部分。另一方面,影响指标反映了成功利用该漏洞可以导致的直接结果,以及受该影响产生的后续结果,我们将其正式称为受影响的组件。

虽然脆弱的组件通常是一个软件应用程序、模块、驱动程序等等(甚至可能是一个硬件设备),但受影响的组件可能是一个软件应用程序、一个硬件设备或一个网络资源。衡量一个脆弱组件之外的弱点的潜在影响,是CVSS v3.0的一个关键特性。

基础分数(必须)
可利用性指标(Exploitability Metrics)
攻击向量(AV) 网络(N) 相邻(A) 本地(L) 物理(P)
攻击的复杂性(AC) 低(L) 高(H)
所需的特权(PR) 没有(N) 低(L) 高(H)
用户交互(UI) 没有(N) 要求(R)
范围(Scope)
范围(S) 不变(U) 改变(C)
影响指标(Impact Metrics)
机密性(C) 没有(N) 低(L) 高(H)
完整性(I) 没有(N) 低(L) 高(H)
可用性(A) 没有(N) 低(L) 高(H)

时间度量组反映了一个可能随时间而变化的漏洞的特征,但是不跨用户环境。例如,一个易于使用的漏洞利用工具包的出现会增加CVSS分数,而一个官方补丁的创建将会减少它。

时间分数(可选)
利用代码的成熟度(E) 未定义(X) 未经验证(U) PoC(P) 函数(F) 高(H)
修复级别(RL) 未定义(X) 官方修复(O) 临时修复(T) 工作区(W) 不可用(U)
报告的可信度(RC) 未定义(X) 未知(U) 合理(R) 确认(C)

环境度量组代表了一个与某个特定用户环境相关且独特的漏洞的特征。这些度量标准允许分析人员合并安全控制,这些控制可以减轻任何后果,也可以根据她的业务风险促进或降低一个脆弱系统的重要性。

环境分数(可选)
机密性要求(CR) 未定义(X) 低(L) 中(M) 高(H)
完整性要求(IR) 未定义(X) 低(L) 中(M) 高(H)
可用性要求(AR) 未定义(X) 低(L) 中(M) 高(H)
修改基础度量指标

(Modified Base Metrics)

Modified Attack Vector (MAV)
Modified Attack Complexity (MAC)
Modified Privileges Required (MPR)
Modified User Interaction (MUI)
Modified Scope (MS)
Modified Confidentiality (MC)
Modified Integrity (MI)
Modified Availability (MA)
CVSS的打分方程

 

CVSS的打分范围
RATING CVSS SCORE
None 0.0
Low 0.1 – 3.9
Medium 4.0 – 6.9
High 7.0 – 8.9
Critical 9.0 – 10.0
CVSS的各指标的权重
METRIC METRIC VALUE NUMERICAL VALUE
Attack Vector / Modified Attack Vector Network
Adjacent
Local
Physical
0.85
0.62
0.55
0.2
Attack Complexity / Modified Attack Complexity Low
High
0.77
0.44
Privilege Required / Modified Privilege Required None
Low
High
0.85
0.62 (0.68 if Scope / Modified Scope is Changed)
0.27 (0.50 if Scope / Modified Scope is Changed)
User Interaction / Modified User Interaction None
Required
0.85
0.62
C,I,A Impact / Modified C,I,A Impact High
Low
None
0.56
0.22
0
Exploit Code Maturity Not Defined 1 High
Functional
Proof of Concept
Unproven
1
0.97
0.94
0.91
Remediation Level Not Defined
Unavailable
Workaround
Temporary Fix
Official Fix
1
1
0.97
0.96
0.95
Report Confidence Not Defined
Confirmed
Reasonable
Unknown
1
1
0.96
0.92
Security Requirements – C,I,A Requirements (CR) Not Defined
High
Medium
Low
1
1.5
1
0.5
参考链接:

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/3368.html

《通用漏洞评分系统(CVSS)》上有8条评论

  1. 如何正确对待CVSS
    https://mp.weixin.qq.com/s/ZtlMCz7tz28bATdi9QwxMw

    通用漏洞评分系统(CVSS)诞生于2007年,是用于评估系统安全漏洞严重程度的一个行业公开标准。CVSS现在已经进入第二个版本,第三版正在开发中。它的主要目的是帮助人们建立衡量漏洞严重程度的标准,使得人们可以比较漏洞的严重程度,从而确定处理它们的优先级。CVSS得分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。漏洞的最终得分最大为10,最小为0。得分7~10的漏洞通常被认为比较严重,得分在4~6.9之间的是中级漏洞,0~3.9的则是低级漏洞。

    采取以下措施来让CVSS更有效:
    · 理解公司暴露在风险中的方式。只有这样才能理解CVSS,并将其和漏洞管理项目绑定在一起。
    · 确定公司的损失暴露情况。最终,修补漏洞缺陷这类努力的效果还是要反映到减少公司损失上。应当将注意力集中在漏洞对业务的影响上。举例而言,在面向Web的系统上找的敏感信息泄露漏洞的优先级应当大于那些并不面向外界的漏洞。
    · 需要保证公司的漏洞评分并不基于CVSS默认设置。应当改变CVSS的环境和时间变量,以获得完整的分数。
    · 如果公司同时遇到了两个漏洞:一个CVSS得分很高,但还没有被入侵;另一个CVSS得分很低,但已经被入侵。公司应当如何抉择呢?

  2. 绿盟安全风险评估算法体系
    http://blog.nsfocus.net/nsfocus-security-risk-assessment-algorithms-system/

    无危则安,无损则全。安全意识就在中国古代人文精神中得到了充分体现。在《申鉴》曾有记载:进忠有三术:一曰防,二曰救,三曰戒,先其未然谓之防,发而止之谓之救,行而则之谓之戒。

    防为上,救次之,戒为下。

    其认为谋事之道的最高境界是防患未然,在事情没有发生之前就预设警戒;其次是在祸患刚开始显露之际及时采取措施中止其发生,至于事后的惩处训诫是最末等措施。这应是现代安全风险管理预防为先的思想雏形。

  3. CVE漏洞信息爬取
    https://github.com/hungryfoolou/Vulnerability_Mining/tree/master/craw

    1、cveid_craw:先获取所有的CVEID,并按照漏洞类别分别保存(共计13类)。
    2、CVE_craw:再通过程序cveid_craw获取所有的CVEID之后,本程序获取所有的CVEID的主流的参考链接的报告内容,并按照漏洞类别分别保存(共计13类)。

    DoS
    Code Execution
    Overflow
    Memory Corruption
    Sql Injection
    XSS
    Directory Traversal
    Http Response Splitting
    Bypass something
    Gain Information
    Gain Privileges
    CSRF
    File Inclusion

发表评论

电子邮件地址不会被公开。 必填项已用*标注