Многие из нас пользуются сканерами безопасности, например таким как Nessus (nessus.org). Но все ли знают, что значат строчки виде: Low / CVSS Base Score : 2 (AV:R/AC:H/Au:NR/C:P/A:N/I:N/B:N)

Итак:

Общая система оценки уязвимостей (Common Vulnerability Scoring System, CVSS), разработаная Национальным институтом стандартов и технологий, совместно с Университетом Карнеги Мелоун, предназначена для определения общей оценки и классификации существующих и новых уязвимостей по шкалей критичности от 0 до 10. Т.е. система позволяет классифицировать известные и новые уязвимости согласно риску, который эти уязвимости представляют для компании и ее окружения.

Система определяет 3 группы метрик:


1. Базовые метрики – набор показателей, которые определяют характеристики уязвимости, которые не изменяются с течением времени и не зависят от окружения, в котором работает система, в которой данная уязвимость обнаружена:


Вектор доступа (AV) определяет, как уязвимость может быть обнаружена и использована. Возможные варианты:

· Локальный (L) для обнаружения и использования уязвимости нужен только локальный доступ;

· Сетевого сегмента (A) уязвимость может быть обнаружена и использована только из того же сетевого сегмента или домена коллизий, в котором находится машина с уязвимостью в системе;

· Сетевой (N) уязвимость может быть обнаружена и использована из открытой сети (Интернет);


Сложность доступа (AC) определяет, насколько сложно провести атаку на систему через уязвимость, после получения доступа к ней. CVSS определяет три уровня: высокий, средний и низкий:

· Высокий (H) – для реализации уязвимости атакующему необходимо иметь высокую квалификация, значительную информацию о системе, необходимо использовать сложные методы социальной инжинерии или изобретать нестандартные средства (пути) реализации атаки;

· Средний (M) – атакующий должен являться частью системы и иметь ограниченные права в ней. Конфигурация уязвимого продукта является отличной от заводской конфигурации (по умолчанию);

· Низкий (L) – низкая сложность реализации уязвимости – конфигурация по уиолчанию, специальные права не требуются, круг пользователей большой, сложно контроллируемый или не ограничен;


Аутентификация (AV) определяет, сколько уровней аутентифкации и авторизации должен пройти злоумышлиник, прежде, чем он получит возможность использовать уязвимость в системе. CVSS определяет три уровня:

· (M) множественная аутентификация и авторизация;

· (S) единичная авторизация;

· (N) отсутствие аутентификации и авторизации.


Влияние на конфенденциальность определяет влияние успешной атаки с использование уязвимости на конфенденциальность системы и данных. CVSS определяет три уровня:

· (N) отсутствие влияния;

· (P) частичная потеря конфенденциальности (возможность доступа к критичеким данным ограничена);

· (C) полная потеря конфенденциальности (потеря или ракрытие секретных документов и критических данных);


Влияние на целостность (I) определяет влияние успешной атаки с использование уязвимости на целостность данных и системы. CVSS определяет три уровня:

· (N) отсутствие влияния;

· (P) частичная потеря целостности (возможна модификации части конфигурации системы или ее отделных модулей, часть данных может быть подменена и т.д.);

· (C) полная потеря целостности (подмена критических данных, модификация конфигурации и процессов всей системы);


Влияние на доступность (A) определяет влияние успешной атаки с использование уязвимости на доступность системы. CVSS определяет три уровня:

· (N) отсутствие влияния;

· (P) частично не доступна (замечается небольшое падение производительности системы или ее частей, непродолжительные перерывы в работе системы и доступности ресурса);

· (C) полная недоступность системы (DoS, недоступность ресурсов, полная загрузка процессора и т.д.);


2. Временные метрики – набор показателей, характеризующих уязвимость, которые могут меняться с течением времени:


Возможность использования уязвимости (E) определяет текущее состояние уязвимости и наличие кода, позволяющего получить доступ и использовать уязвимость (эксплоита). CVSS определяет несколько уровней:

· (U) неподтвержденный (уязвимость не подтверждена и нет кода, позволяющего использовать уязвимость);

· (POC) проверка концепции (доступен тестовый или демонстрационный код, позволяющий использовать уязвимость на некоторых системах);

· (F) функциональный (существует код, позволяющие с успехом использовать уязвимость на большинстве систем, есть частичное или полное техническое описание уязвимости, доступное определенному кругу людей);

· (H) высокий уровень (существует множество вариантов кода, позволяющего использовать уязвимость, или же для использования уязвимости не нужно использование эксплойта, техничекие детали уязвимости известны широкому кругу людей);

· (ND) не определено (используется для игнорирования параметра в уравнении расчета оценки);


Уровень излечения (RL) определяет наличие обновлений для закрытия уязвимости. CVSS определяет пять уровней:

· (OF) есть официальное обновление для полного закрытия уязвимости;

· (TF) есть временное обновление для частичного закрытия обновления;

· (U) есть не официальное, временно, обходное решение;

· (ND) обновление или временное решение для закрытия уязвимости недоступно; не определено (используется для игнорирования параметра в уравнении расчета оценки);


Степень достоверности отчета (RC) определяет степень достоверности отчетов и полученных технических данных об уязвимости. CVSS определяет четыре уровня:

· (UC) неподтвержден (нет официального подтверждения вендора, есть один неподтвержденный отчет или есть несколько противоречащих друг другу отчетов);

· (UR) отчет, подтвержденный фактами (нет официального подтверждения вендора, есть несколько дополняющих друг друга отчетов из официальных источников);

· (C) подтвержден (уязвимость официально подтверждена вендором); не определено (используется для игнорирования параметра в уравнении расчета оценки);

· (ND) не определено (используется для игнорирования параметра в уравнении расчета оценки);


3. Метрики окружения – набор параметров, позволяющих оценить влияние успешного использования уязвимости на компанию, ее окружение и заинтересованных лиц:


· Вероятность нанесения косвенного ущерба (CDP) определяет вероятность нанесения ущерба материальным и нематериальным активам, репутации, степень угрозы жизни людей, которые могут быть вызваны в результате успешного использования уязвимости. CVSS определяет шесть уровней:

· (N) отсутствие влияния;

· (L) низкая вероятность;

· (LM) низкая-средняя вероятность;

· (MH) средняя-высокая вероятность;

· (H) высокая вероятность;

· (ND) не определено (используется для игнорирования параметра в уравнении расчета оценки);


Плотность целей (TD) позволяет оценить наличие и доступность целей, подверженных данной уязвимости. CVSS определяет пять уровней:

· (N) нулевая плотность (цели отсутствуют или существуют только в закрытых лабораторных условиях);

· (L) низкая плотность (в текущем окружении существует несколько потенциальных целей, но их доступность ограничена);

· (M) средняя плотность (большая часть используемых систем подвержена уязвимости и доступны);

· (H) высокая плотность (почти все системы в текущем окружении подвержены данной уязвимости и досутпны для атаки);

· (ND) не определено (используется для игнорирования параметра в уравнении расчета оценки);


Требование по безопасности (CR, IR, AR) позволяет определить, насколько потеря конфенденциальности, целостности и/или доступности влияет на компанию и ее сотрудников. CVSS определяет четыре уровня:

· (L) низкий уровень влияния (потеря конфенденциальности | целостности | доступности минимально сказывается на организации и ее сотрудниках);

· (M) средний уровень (потеря конфенденциальности | целостности | доступности имеет последствия средней тяжести для организации и ее сотрудников);

· (H) высокий уровень (потеря конфенденциальности | целостности | доступности имеет серьезные последствия для организации и ее сотрудников);

· (ND) не определено (используется для игнорирования параметра в уравнении расчета оценки).