آسیب پذیری ها رایج CVSS

آشنایی با سیستم امتیازدهی آسیب پذیری رایج (CVSS)

آشنایی با سیستم امتیازدهی آسیب پذیری رایج (CVSS)

آیا تاکنون در مورد سیستم امتیازدهی آسیب پذیری رایج یا Common Vulnerability Scoring System (CVSS) و اهمیت آن شنیده‌اید؟ 

در این مقاله، مفهوم CVSS و اولویت بندی آسیب پذیری ها بر اساس امتیاز بررسی خواهیم کرد.

سیستم امتیازدهی آسیب پذیری(CVSS) رایج چیست؟

CVSS، یک استاندارد صنعتی رایگان و باز برای ارزیابی شدت آسیب پذیری امنیتی سیستم کامپیوتری است. که یک امتیاز عددی برای رتبه بندی آسیب پذیری ها بر اساس شدت آنها ایجاد می کند. سازمان ها می توانند آسیب پذیری های خود را براساس میزان امتیاز(پایین، متوسط یا زیاد) CVSS اولویت بندی کنند.

CVSS چگونه کار می کند؟

آسیب پذیری ها، نقص هایی در کنترل های داخلی، سیستم های اطلاعاتی یا فرآیندهای سازمان هستند که مجرمان سایبری می توانند برای سرقت داده های شرکت و ایجاد آسیب استفاده کنند.

بر اساس تحلیل پایگاه داده آسیب‌پذیری ملی موسسه استاندارد و فناوری ایالات متحده(NIST)، شرکت ها در سال 2020، به میزان 18،103 آسیب پذیری را گزارش کردند که 10،342 مورد از آنها با شدت بالا بود.

برای ایمن نگه داشتن سیستم‌ها، سازمان ها باید این آسیب‌پذیری ها را در اسرع وقت شناسایی، اولویت بندی و اصطلاح کنند. که با توجه به تعداد قابل توجهی از نقص هایی که سازمان ها می توانند مدیریت کنند، کار آسانی نیست.

CVSS، یک چارچوب منبع باز است. که به توسعه دهندگان نرم افزار، آزمایش کنندگان، امنیت و متخصصان فناوری اطلاعات یک فرآیند استاندارد برای ارزیابی آسیب پذیری ها ارائه می دهد. سازمان ها می توانند از CVSS برای تعیین سطح تهدید آسیب پذیری استفاده کنند و سپس راه حل های مناسب را بر اساس این اولویت بندی اتخاذ کنند.

انجمن غیرانتفاعی تیم های پاسخگو به حوادث و امنیتی(FIRS) مالک و مدیریت CVSS است. بسیاری از سازمان ها CVSS را پذیرفته‌اند، از جمله وزارت امنیت داخلی ایالات متحده، تیم واکنش اضطراری کامپیوتری ایالات متحده، آمازون، سیسکو، اچ پی، هوآوی، آی بی ام، مک آفی، اوراکل و کوالیس

چگونه سازمان ها امتیاز CVSS را محاسبه می کنند؟

سازمان ها امتیازات CVSS را بر اساس معیارهایی که در سه گروه طبقه بندی شده‌اند، محاسبه می کنند که از آنها امتیازات متفاوتی به دست می آید.

این گروه های متریک عبارتند از:

گروه متریک پایه:

گروه اندازه گیری پایه، نشان دهنده ویژگی های ذاتی یک آسیب پذیری است. یعنی آنهایی که در طول زمان یا درمحیط های مختلف، کاربر تغییر نمی کند. سازمان ها از امتیاز پایه CVSS که مربوط معیار اصلی شدت آسیب پذیری ها است، استفاده می کنند. زیرا به آنها اجازه می دهد تاثیرات آسیب پذیری ها را بر روی سیستم هایشان بسنجند و اولویت بندی کنند که کدامیک را زودتر اصلاح کنند.

گروه اندازه گیری پایه شامل چندین معیار است که با هم یک امتیاز پایه CVSS را ایجاد می کنند. این معیارها عبارتند از:

معیارهای بهره‌برداری:

قابلیت بهره‌برداری نشان می دهد که چگونه یک عامل مخرب می تواند به راحتی از یک آسیب‌پذیری سوء استفاده کند. این مورد چهار معیار بهره‌برداری خاص را تعریف می کند:

– بردار حمله، سطح دسترسی فیزیکی یا شبکه‌ای که یک مجرم سایبری برای بهره‌برداری نیاز دارد را مشخص می کند.

– پیچیدگی حمله به شرایطی اشاره دارد که به یک مجرم سایبری اجازه می دهد از یک آسیب پذیری سوء استفاده کند. 

– امتیاز مورد نیاز، به سطح امتیاز مورد نیاز سیستم برای بهره برداری از یک آسیب پذیری اشاره دارد.

– تعامل کاربر نشان میدهد که آیا کاربر نیاز به انجام کاری دارد، مثلا برنامه‌ای را نصب کند که مجرم سایبری را قادر می سازد تا از یک آسیب پذیری سوء استفاده کند.

معیارهای تاثیر:

این معیار  بر آنچه که یک مجرم سایبری می تواند با بهره برداری از یک آسیب پذیری به دست آورد تمرکز دارد و به سه معیار تقسیم می شود:

– محرمانه بودن، به حجم داده هایی که یک مجرم سایبری پس از نفوذ به سیستم به آنها دسترسی دارد، اشاره می کند. آسیب پذیری هایی که داده های ذخیره شده در سراسر سیستم را نشان می دهند، بالاتر از آسیب پذیری هایی هستند که منابع محلی و مخفی شده را در معرض دید قرار می دهند.

– یکپارچگی بر این مورد که آیا داده های محافظت شده، دستکاری یا تغییر داده شده است، تمرکز می کند.

– در دسترس بودن نیز بر توانایی انکار سرویس به کاربران و داده های آنها متمرکز است. 

معیارهای Scope:

Scope، مشخص می کند که آیا آسیب‌پذیری در یک سیستم بر سیستم دیگر تاثیر می گذارد یا خیر.

معیارهای پایه، امتیازی بین صفر(کمترین میزان ریسک) و دو (بالاترین میزان ریسک) ایجاد می کند. سازمان ها می توانند معیارهای پایه را با امتیازدهی به معیارهای زمانی و محیطی تغییر دهند.

گروه متریک زمانی:

معیارهای زمانی در طول زمان تغییر کرده و وضعیت فعلی آسیب‌پذیری و در دسترس بودن پچ ها را اندازه گیری می کkند. سه معیار اصلی در این گروه عبارتند از: بلوغ کد بهره برداری، سطح اصلاح و گزارش اعتماد

بلوغ کد بهره برداری(اکسپلویت)، میزان دشواری سوء استفاده از یک آسیب‌پذیری برای یک مجرم سایبری را اندازه گیری می کند.

سطح اصلاح، وجود پچ یا راه حلی برای کاهش آسیب‌پذیری را اندازه گیری می کند.

گزارش اعتماد، میزان اطمینان منابع از وجود آسیب‌پذیری و قابل بهره برداری بودن آن را اندازه گیری می کند.

گروه متریک محیطی:

معیار های محیطی به سازمان اجازه می دهد تا معیارهای پایه CVSS را بر اساس عوامل تجاری خاص که ممکن است شدت آسیب پذیری را افزایش یا کاهش دهند، اصلاح کنند. معیارهای زیست محیطی شامل معیارهای CVSS پایه اصلاح شده و الزامات امنیتی است:

معیارهای پایه اصلاح شده:

سازمان ها ممکن است مقادیر معیارهای پایه را با اجرای کنترل های جران کننده یا اقدامات کاهش دهنده جهت کاهش احتمال سوء استفاده مجرمان سایبری از آسیب پذیری تغییر دهند.

الزامات امنیتی یک دارایی را بر اساس اهمیت آن برای سازمان که از نظر محرمانه بودن، یکپارچگی و در دسترس بودن اندازه گیری می شود، توصیف و امتیاز می دهد.

محرمانه بودن، به توانایی پنهان کردن داده ها از کاربران غیرمجاز اشاره دارد.

یکپارچگی، توانایی محافظت از داده ها در برابر تغییر از نسخه اصلی است.

در دسترس بودن نیز به میزان دسترسی کاربران مجاز به داده ها در صورت نیاز اشاره می کند. هرچه دارایی اهمیت بیشتر داشته باشد، امتیاز آن نیز بالاتر است.

آیا CVSS با CVE ارتباط دارد؟

CVSS و CVE استانداردهای مکمل هستند. اما مستقیماً به یکدیگر مرتبط نمی باشند. برنامه آسیب‌پذیری ها و مواجهه های رایج(CVE) آسیب پذیری های امنیتی و مواجهه های عمومی را با شناسه های منحصر به فرد فهرست بندی می کند. CVE شناسه های مشترکی را برای نقص های شناخته شده عمومی ارائه می کند و ارتباطی با رتبه بندی شدت یا اولویت بندی برای آسیب ها ندارد. با این حال، پایگاه ملی آسیب پذیری، یک پایگاه در دولت ایالات متحده است، از آسیب پذیری مبتنی بر استاندارد، به هر CVE یک امتیاز CVSS می دهد که نشان دهنده شدت امنیتی آن است.

 

بستن