Загальна система оцінки вразливостей

Загальна система оцінки вразливостей (англ. Common Vulnerability Scoring System, CVSS) – це безкоштовний і відкритий галузевий стандарт для оцінки серйозності вразливостіей безпеки комп’ютерної системи. CVSS намагається призначити оцінки серйозності вразливостям, дозволяючи особам, що реагують, розставляти пріоритети відповідей і ресурсів відповідно до загроз. Оцінки розраховуються на основі формули, яка залежить від кількох метрик, які приблизно описують легкість і вплив експлойту. Оцінки коливаються від 0 до 10, причому 10 є найважою. Хоча багато хто використовує лише базову оцінку CVSS для визначення серйозності, існують також темпоральні оцінки та оцінки середовища, щоб врахувати доступність пом’якшення ризиків та наскільки широко поширені вразливі системи в організації, відповідно.

Поточна версія CVSS (CVSSv3.1) була випущена в червні 2019 року.^[1]

Історія[ред. | ред. код]

Дослідження Національної консультативної ради з питань інфраструктури^[en] (NIAC) у 2003/2004 рр. призвело до запуску CVSS версії 1 (CVSSv1) у лютому 2005 р. з метою бути «призначеним для надання відкритих і універсальних стандартних рейтингів серйозності вразливості програмного забезпечення». Цей початковий проект не був предметом експертної оцінки чи розгляду іншими організаціями. У квітні 2005 року NIAC вибрав Форум команд реагування на інциденти та безпеки (FIRST), щоб стати зберігачем CVSS для майбутнього розвитку.^[2]

Відгуки постачальників, які використовують CVSSv1 у виробництві, показали, що були «значні проблеми з початковим проектом CVSS». Робота над версією CVSS 2 (CVSSv2) почалася в квітні 2005 року, а остаточна специфікація була представлена в червні 2007 року.^[3]

Подальші відгуки привели до початку роботи над CVSS версії 3 у 2012 році^[4], що закінчилось випуском CVSSv3.0 у червні 2015 року.^[5]

Термінологія[ред. | ред. код]

Оцінка CVSS визначає три проблемні питання:

Базові показники для якостей, притаманних уразливості
Темпоральні (часові) метрики для характеристик, які змінюються протягом життєвого циклу вразливості
Метрики середовища для вразливостей, які залежать від конкретної реалізації або середовища

Для кожної з цих груп показників створюється числова оцінка. Векторний рядок (або просто «вектор» у CVSSv2) представляє значення всіх показників у вигляді блоку тексту.

Версія 2[ред. | ред. код]

Повну документацію для CVSSv2 можна отримати на сайті FIRST.^[6] Нижче наведено резюме.

Базові показники[ред. | ред. код]

Вектор доступу[ред. | ред. код]

Вектор доступу (AV) показує, як може бути використана вразливість.

Значення	Опис	Балли
Локальна (L)	Зловмисник повинен мати фізичний доступ до вразливої системи (наприклад, атаки на FireWire) або локальний обліковий запис (наприклад, атака з підвищенням привілеїв).	0.395
Сусідня мережа (A)	Зловмисник повинен мати доступ до широкомовного домену або домену колізій уразливої системи (наприклад, підробка ARP, атаки Bluetooth).	0.646
Мережа (N)	Уразливий інтерфейс працює на рівні 3 або вище мережевого стека OSI. Ці типи вразливостей часто описують як віддалено експлуатовані (наприклад, віддалене переповнення буфера в мережевій службі).	1.0

Складність доступу[ред. | ред. код]

Показник складності доступу (AC) описує, наскільки легко або важко використовувати виявлену вразливість.

Значення	Опис	Балли
Висока (H)	Існують спеціальні умови, наприклад, стан гонитви з вузьким вікном або потреба у методах соціальної інженерії, які легко помітять обізнані люди.	0.35
Помірна (M)	Існують додаткові вимоги до атаки, наприклад обмеження джерела атаки або вимога, щоб уразлива система працювала з незвичайною конфігурацією, яка не є конфігурацією за замовчуванням.	0.61
Низька (L)	Немає особливих умов для використання уразливості, наприклад, коли система доступна для великої кількості користувачів або вразлива конфігурація розповсюджена.	0.71

Автентифікація[ред. | ред. код]

Показник автентифікації (Au) описує кількість разів, коли зловмисник повинен автентифікуватися на цілі, щоб скористатися вразливістю. Він не включає (наприклад) автентифікацію в мережі для отримання доступу. Для вразливостей, які можна використовувати локально, це значення має бути встановлене на Одиночна або Множинна, лише якщо після початкового доступу потрібна подальша автентифікація.

Значення	Опис	Балли
Множинна (M)	Використання вразливості вимагає від зловмисника автентифікації двічі або більше разів, навіть якщо кожен раз використовуються одні й ті ж облікові дані.	0.45
Одиночна (S)	Зловмисник повинен пройти автентифікацію один раз, щоб використати вразливість.	0.56
Відсутня (N)	Зловмисник не потребує автентифікації.	0.704

Метрики впливу[ред. | ред. код]

Конфіденційність[ред. | ред. код]

Показник конфіденційності (C) описує вплив на конфіденційність даних, що обробляються системою.

Значення	Опис	Балли
Відсутній (N)	Відсутній вплив на конфіденційність системи.	0.0
Частковий (P)	Відбувається значне розкриття інформації, але масштаби втрати обмежені таким чином, що доступні не всі дані.	0.275
Повний (C)	Відбувається повне розкриття інформації, надання доступу до будь-яких/всіх даних в системі. Крім того застосовується, якщо можна отримати доступ лише до певної інформації з обмеженим доступом, але розкрита інформація має прямий серйозний вплив.	0.660

Цілісність[ред. | ред. код]

Показник Цілісність (I) описує вплив на цілісність експлуатованої системи.

Значення	Опис	Балли
Відсутній (N)	Відсутній вплив на цілісність системи.	0.0
Частковий (P)	Можлива зміна деяких даних або системних файлів, але обсяг модифікації обмежений.	0.275
Повний (C)	Відбувається повна втрата цілісності; зловмисник може змінити будь-які файли або інформацію в цільовій системі.	0.660

Доступність[ред. | ред. код]

Показник доступності (A) описує вплив на доступність цільової системи. Атаки, які споживають пропускну здатність мережі, цикли процесора, пам'ять або будь-які інші ресурси, впливають на доступність системи.

Значення	Опис	Балли
Відсутній (N)	Відсутній вплив на доступність системи.	0.0
Частковий (P)	Знижена продуктивність або втрата деяких функцій.	0.275
Повний (C)	Відбувається повна втрата доступності атакованого ресурсу.	0.660

Розрахунки[ред. | ред. код]

Ці шість метрик використовуються для розрахунку можливості експлуатації (Exploitability) та впливу (Impact) вразливості. Ці часткові оцінки використовуються для обчислення загальної базової оцінки.

${\textsf {Exploitability}}=20\times {\textsf {AccessVector}}\times {\textsf {AccessComplexity}}\times {\textsf {Authentication}}$

${\textsf {Impact}}=10.41\times (1-(1-{\textsf {ConfImpact}})\times (1-{\textsf {IntegImpact}})\times (1-{\textsf {AvailImpact}}))$

$f({\textsf {Impact}})={\begin{cases}0,&{\text{якщо }}{\textsf {Impact}}{\text{ = 0}}\\1.176,&{\text{у іншому випадку }}\end{cases}}$

${\textsf {BaseScore}}={\textsf {roundTo1Decimal}}(((0.6\times {\textsf {Impact}})+(0.4\times {\textsf {Exploitability}})-1.5)\times f({\textsf {Impact}}))$

де, AccessVector - значення метрики "вектор доступу", AccessComplexity - значення метрики "складність доступу", Authentication - значення метрики "автентифікація", ConfImpact - вплив на конфіденційність, IntegImpact - вплив на цілісність, AvailImpact - вплив на доступність, roundTo1Decimal - функція округлення до 1 десяткового знака після коми, BaseScore - базова оцінка.

Показники підлягають конкатенації, щоб створити вектор CVSS для вразливості.

Приклад[ред. | ред. код]

Уразливість переповнення буфера впливає на програмне забезпечення вебсервера, це дозволяє віддаленому користувачеві отримати частковий контроль над системою, включаючи можливість її вимикання:

Метрика	Значення	Опис
Вектор доступу	Мережа	До вразливості можна отримати доступ з будь-якої мережі, яка може отримати доступ до цільової системи – як правило, з усього Інтернету
Складність доступу	Низька	Особливих вимог до доступу немає
Автентифікація	Відсутня	Для використання уразливості не вимагається автентифікація
Конфіденційність	Частковий	Зловмисник може прочитати деякі файли та дані в системі
Цілісність	Частковий	Зловмисник може змінити деякі файли та дані в системі
Доступність	Частковий	Зловмисник може призвести до того, що система та вебслужба стануть недоступними або перестануть реагувати, вимкнувши систему

Це дасть 10 балів щодо можливості експлуатації та 8,5 бала впливу, що дасть загальний базовий бал 9,0. Вектор для базової оцінки в цьому випадку буде AV:N/AC:L/Au:N/C:P/I:P/A:C. Оцінка та вектор зазвичай представлені разом, щоб дозволити реципієнту повністю зрозуміти природу вразливості та розрахувати власну оцінку середовища, якщо необхідно.

Темпоральні метрики[ред. | ред. код]

Значення темпоральних метрик змінюється протягом життя вразливості, оскільки експлойти розробляються, розкриваються й автоматизуються, а також стають доступними засоби пом’якшення та виправлення.

Експлуатабельність[ред. | ред. код]

Показник можливості експлуатабельності (E) описує поточний стан методів експлуатації або автоматизованого коду для експлуатації.

Значення	Опис	Балли
Не доведено (U)	Код експлойту відсутній, або експлойт є теоретичним	0.85
Доказ концепції (P)	Код експлойту для підтвердження концепції або демонстраційні атаки доступні, але не практичні для широкого використання. Не працює проти всіх випадків уразливості.	0.9
Функціональний (F)	Функціональний код експлойта доступний і працює в більшості ситуацій, де є уразливість.	0.95
Високий (H)	Уразливість може бути використана за допомогою автоматизованого коду, включаючи мобільний код (наприклад, хробак або вірус).	1.0
Не визначено (ND)	Це сигнал ігнорувати цей показник.	1.0

Рівень відновлення[ред. | ред. код]

Рівень усунення (RL) уразливості дозволяє знизити темпоральну оцінку вразливості, оскільки будуть доступні засоби пом’якшення та офіційні виправлення.

Значення	Опис	Балли
Офіційне виправлення (O)	Доступне повне рішення постачальника - або виправлення, або оновлення.	0.87
Тимчасове виправлення (T)	Від постачальника є офіційне, але тимчасове виправлення/пом’якшення.	0.90
Обхідний шлях (W)	Існує неофіційне рішення, яке не є постачальником, або доступне пом’якшення – можливо, розроблене або запропоноване користувачами продукту чи іншою третьою стороною.	0.95
Недоступне (U)	Немає доступного рішення або неможливо застосувати запропоноване рішення. Це звичайний початковий стан рівня виправлення, коли виявлено вразливість.	1.0
Не визначено (ND)	Це сигнал ігнорувати цей показник.	1.0

Впевненість у звіті[ред. | ред. код]

Впевненість у звіті (RC) про вразливість вимірює рівень впевненості в існуванні вразливості, а також достовірність технічних деталей уразливості.

Значення	Опис	Балли
Не підтверджено (UC)	Одне непідтверджене джерело або кілька конфліктуючих джерел. Уразливість за чутками.	0.9
Не впевнено (UR)	Кілька джерел, які в цілому погоджуються – може залишатися певний рівень невизначеності щодо вразливості	0.95
Підтверджено (C)	Визнано та підтверджено постачальником або виробником продукту, на який впливає.	1.0
Не визначено (ND)	Це сигнал ігнорувати цей показник.	1.0

Розрахунки[ред. | ред. код]

Ці три показники використовуються разом із базовою оцінкою, яка вже була розрахована для отримання темпоральної оцінки вразливості з пов’язаним із нею вектором.

Формула, яка використовується для обчислення темпоральної оцінки:

${\textsf {TemporalScore}}={\textsf {roundTo1Decimal}}({\textsf {BaseScore}}\times {\textsf {Exploitability}}\times {\textsf {RemediationLevel}}\times {\textsf {ReportConfidence}})$

де TemporalScore - темпоральна оцінка, BaseScore - базова оцінка, Exploitability - експлуатабельність, RemediationLevel - рівень відновлення, ReportConfidence - впевненість у звіті.

Приклад[ред. | ред. код]

Щоб продовжити наведений вище приклад, якщо постачальника вперше повідомили про вразливість шляхом опублікування коду з підтвердженням концепції в списку розсилки, початкова темпоральна оцінка буде розрахована за допомогою значень, наведених нижче:

Метрика	Значення	Опис
Експлуатабельність	Доказ концепції	Підтвердження концепції, неавтоматичний код надається для демонстрації основних функцій експлойту.
Рівень відновлення	Недоступне	Постачальник ще не мав можливості надати пом’якшення чи виправлення.
Впевненість у звіті	Не підтверджено	Було єдине повідомлення про вразливість

Це дало б темпоральну оцінку 7,3 з темпоральним вектором E:P/RL:U/RC:UC (або повним вектором AV:N/AC:L/Au:N/C:P/I:P/A:C/E:P/RL:U/RC:UC).

Якщо постачальник підтвердить уразливість, оцінка підвищується до 8,1 з темпоральним вектором E:P/RL:U/RC:C.

Тимчасове виправлення від постачальника зменшить оцінку до 7,3 (E:P/RL:T/RC:C), тоді як офіційне виправлення зменшить її ще до 7,0 (E:P/RL:O/RC:C). Оскільки неможливо бути впевненим, що кожна уражена система була виправлена або виправлена, темпоральна оцінка не може знизитися нижче певного рівня на основі дій постачальника, і може збільшитися, якщо буде розроблено автоматизований експлойт для вразливості.

Метрики середовища[ред. | ред. код]

Метрики середовища використовують базову та поточну темпоральну оцінку для оцінки серйозності вразливості в контексті способу розгортання вразливого продукту або програмного забезпечення. Цей показник розраховується суб’єктивно, як правило, ураженими сторонами.

Потенціал побічної шкоди[ред. | ред. код]

Потенціал побічної шкоди (CDP) вимірює потенційну втрату або вплив на такі фізичні активи, як обладнання (і життя), або фінансовий вплив на організацію, яка постраждала, якщо вразливість буде використана.

Значення	Опис	Балли
Відсутній (N)	Немає можливості втрати власності, доходу чи продуктивності	0
Низький (L)	Невелике пошкодження активів або незначна втрата доходу чи продуктивності	0.1
Нижче середнього (LM)	Помірні пошкодження або втрати	0.3
Вище середнього (MH)	Значні пошкодження або втрати	0.4
Високий (H)	Катастрофічний збиток або втрата	0.5
Не визначено (ND)	Це сигнал ігнорувати цей показник	0

Розповсюдженість цілей[ред. | ред. код]

Показник розповсюдженності цілей (TD) вимірює частку вразливих систем у середовищі.

Значення	Опис	Балли
Відсутній (N)	Цільових систем не існує, або вони існують лише в лабораторних умовах	0
Низький (L)	1–25% систем під загрозою	0.25
Помірний (M)	26–75% систем під загрозою	0.75
Високий (H)	76–100% систем під загрозою	1.0
Не визначено (ND)	Це сигнал ігнорувати цей показник	1.0

Модифікатор підрахунку впливу[ред. | ред. код]

Ще три показники оцінюють конкретні вимоги безпеки до конфіденційності (CR), цілісності (IR) та доступності (AR), що дозволяє точно налаштувати оцінку середовища відповідно до середовища користувачів.

Значення	Опис	Балли
Низький (L)	Втрата (конфіденційності / цілісності / доступності) може мати лише обмежений вплив на організацію.	0.5
Помірний (M)	Втрата (конфіденційності / цілісності / доступності) може мати серйозний вплив на організацію.	1.0
Високий (H)	Втрата (конфіденційності / цілісності / доступності) може мати катастрофічний вплив на організацію.	1.51
Не визначено (ND)	Це сигнал ігнорувати цей показник	1.0

Розрахунки[ред. | ред. код]

П’ять показників середовища використовуються разом із попередньо оціненими базовими та темпоральними показниками для обчислення оцінки середовища та створення пов’язаного вектора середовища.

${\textsf {AdjustedImpact}}=\min(10,10.41\times (1-(1-{\textsf {ConfImpact}}\times {\textsf {ConfReq}})\times (1-{\textsf {IntegImpact}}\times {\textsf {IntegReq}})\times (1-{\textsf {AvailImpact}}\times {\textsf {AvailReq}})))$

${\textsf {AdjustedTemporal}}={\textsf {TemporalScore}}{\text{ recomputed with the }}{\textsf {BaseScore}}{\text{s }}{\textsf {Impact}}{\text{ sub-equation replaced with the }}{\textsf {AdjustedImpact}}{\text{ equation}}$

${\textsf {EnvironmentalScore}}={\textsf {roundTo1Decimal}}(({\textsf {AdjustedTemporal}}+(10-{\textsf {AdjustedTemporal}})\times {\textsf {CollateralDamagePotential}})\times {\textsf {TargetDistribution}})$

де AdjustedImpact - скоригований вплив, AdjustedTemporal - скоригована темпоральна метрика, ConfReq - вимоги безпеки до конфіденційності, IntegReq - вимоги безпеки до цілісності, AvailReq - вимоги безпеки до доступності, CollateralDamagePotential - потенціал побічної шкоди, TargetDistribution - розповсюдженість цілей.

Приклад[ред. | ред. код]

Якщо вищезгаданий вразливий вебсервер використовувався банком для надання послуг онлайн-банкінгу, а постачальник надав тимчасове виправлення, тоді оцінку середовища можна було б оцінити як:

Метрика	Значення	Опис
Потенціал побічної шкоди	Вище середнього	Це значення буде залежати від того, до якої інформації зловмисник може отримати доступ у разі використання вразливої системи. У цьому випадку я припускаю, що деяка особиста банківська інформація є доступною, тому це суттєво впливає на репутацію банку.
Розповсюдженість цілей	Високий	Усі вебсервери банку працюють із вразливим програмним забезпеченням.
Вимоги безпеки до конфіденційності	Високий	Клієнти очікують, що їхня банківська інформація буде конфіденційною.
Вимоги безпеки до цілісності	Високий	Фінансову та особисту інформацію не можна змінювати без дозволу.
Вимоги безпеки до доступності	Низький	Недоступність послуг онлайн-банкінгу, ймовірно, буде незручністю для клієнтів, але не катастрофічною.

Це дасть оцінку середовища 8,2 і вектор середовища CDP:MH/TD:H/CR:H/IR:H/AR:L. Цей показник знаходиться в діапазоні 7,0-10,0, і тому є критичною вразливістю в контексті діяльності банку, який постраждав.

Критика версії 2[ред. | ред. код]

Декілька постачальників і організацій висловили невдоволення CVSSv2.

Risk Based Security, яка керує базою даних уразливостей з відкритим кодом, і Open Security Foundation спільно опублікували публічний лист до FIRST щодо недоліків і відмов CVSSv2.^[7] Автори посилалися на відсутність деталізації в кількох показниках, що призводить до векторів CVSS та оцінок, які не розрізняють належним чином уразливості різного типу та профілів ризику. Також було відзначено, що система оцінки CVSS вимагає занадто багато знань про точний вплив уразливості.

Oracle представила нове значення показника «Частковий+» для конфіденційності, цілісності та доступності, щоб заповнити виявлені прогалини в описі між "частковий" і "повний" в офіційних специфікаціях CVSS.^[8]

Версія 3[ред. | ред. код]

Щоб відповісти на деякі з цих застережень, у 2012 році було розпочато розробку CVSS версії 3. Остаточну специфікацію було названо CVSS v3.0 і випущено в червні 2015 року. На додаток до Специфікаційного документа, також було випущено посібник користувача та документ із прикладами.^[9]

Деякі показники були змінені, додані та вилучені. Числові формули були оновлені, щоб включити нові показники зі збереженням існуючого діапазону оцінок 0-10. Текстові оцінки серйозності: Відсутній (0), Низький (0,1-3,9), Середній (4,0-6,9), Високий (7,0-8,9) і Критичний (9,0-10,0)^[10] були визначені, подібно до категорій NVD, визначених для CVSS v2, які не були частиною цього стандарту.^[11]