了解 CVSS:通用漏洞评分系统的应用
漏洞威胁管理至关重要,因为网络犯罪是一种持续存在的全球风险。网络犯罪分子愿意利用软件中的任何漏洞来访问网络和设备。对使用该软件的软件开发人员和组织的影响可能很严重。用户必须处理攻击的结果,例如赎金或数据盗窃,并且还可能面临法律后果、经济损失和声誉受损。
开发人员应该测试代码安全,评估漏洞,并在发布前修复它们,但最终用户也应该有一个强大的漏洞威胁管理计划,以保护自己免受网络犯罪的破坏性影响。
通用漏洞评分系统旨在帮助软件开发人员和用户评估其软件的漏洞,并制定一个稳健的VTM计划,以确保其系统尽可能安全。
软件漏洞
每年都有越来越多的软件漏洞被发现,网络犯罪分子已经准备好渗透系统以获取他们的优势。软件漏洞是由于代码中的错误造成的,例如漏洞或漏洞,使攻击者能够注入或修改代码,从而完全访问系统的数据。
例如,虚拟联络中心软件开发人员可能会在其产品发布之前识别编码漏洞,或者如果在发布后发现漏洞,创建补丁来修复漏洞。
什么是 CVSS?
软件开发人员、漏洞研究人员和威胁管理团队使用通用漏洞评分系统来识别软件漏洞。CVSS
提供了一个标准化的评分系统来评估软件漏洞的严重性。然后可以有效地优先考虑这些威胁以及消除它们所需的行动。
现在,CVSS 由美国非营利性公司事件响应和安全团队论坛 (FIRST)
拥有和管理,并得到来自各个行业的一组代表的支持,这些代表致力于帮助保护组织免受网络威胁。
分数是如何计算的?
CVSS 分数结合了三组指标:
基本指标
基本分数代表漏洞的特征,并且在用户环境中是一个常数。基础分数结合了三个子分数元素:
可利用性
评估了漏洞被利用的难易程度,并基于另外四个子组件:
攻击向量——对利用漏洞所需的访问级别进行评分。如果一个漏洞可以被远程利用,那么它的得分将高于只有物理存在时才能利用的漏洞。
攻击复杂性——评估攻击者控制范围之外的因素,这些因素会影响他们利用漏洞的潜力。如果攻击者在没有任何附加信息的情况下很容易利用该漏洞,那么它就会获得高分。
所需权限——该分数基于攻击者利用漏洞所需的权限级别。如果需要高级身份验证,那么它的得分将低于不需要身份验证的得分。
用户交互——这个分数取决于攻击者是否需要其他用户的操作来利用漏洞。例如,攻击者可能需要用户下载会计和税务服务模板的提案,以激活他们注入的代码以利用他们的软件漏洞。如果攻击者可以在没有其他用户进一步操作的情况下完成他们的任务,则得分会更高。
影响
影响分值衡量攻击的潜在后果,包含三个因素:
保密性——反映可能被泄露或丢失的数据量。
完整性——对攻击者可以对系统中的数据施加的操纵程度和数据的可信性进行评分,应用ACID原则等特性进行攻击。
可用性——反映了攻击对其他用户访问系统的能力的影响。如果系统受到攻击后其他人无法访问该系统,则得分将很高。
范围
这主要关注攻击对系统中其他组件的影响能力。如果漏洞允许潜在的攻击者访问系统的其他区域,那么它将获得高分。
时间指标
这些漏洞可能会随着时间的推移而变化,并且基于已知可利用的漏洞以及修补这些漏洞的可用性或方法。例如,一个企业托管的VoIP软件包可能会发现一个新的漏洞,但可能需要几个月的时间来开发一个补丁来保护它。
一个新的漏洞,如果没有任何方法来纠正它,风险是很高的。如果提供了补丁或更新来保护漏洞,得分可以降低。
时间指标基于:
利用代码成熟度——这反映了利用漏洞所需的工具和方法的可用性。
修复级别——此分数取决于何时可以使用适当的修复来修复漏洞。
报告置信度——衡量对报告准确性的置信度。如果在没有证据的情况下报告漏洞,则得分较低。
环境指标
此分数对于发现漏洞的环境是唯一的。它的独特之处在于它需要一种基于风险的方法,该方法考虑组织的安全协议、易受攻击的组件对其系统的重要性以及任何安全漏洞对漏洞的影响。
使用环境指标来定制基础分数,考虑以下因素:
可访问性——评估漏洞对单个系统组件的影响。非特权用户终端的得分将低于管理员终端。
安全性——评估安全协议以减少潜在的攻击。例如,远程办公人员使用虚拟专用网络来消除对互联网的直接访问。
CVSS 分数
CVSS 分数范围从 0.0(无威胁)到 10.0(严重威胁)。
基础分数包括可利用性和影响分数。但是,时间和环境评分通过考虑时间点和用户环境,有助于更深入地了解漏洞。
基本和时间分数通常由软件制造商生成,他们将使用详细的数据来识别测试期间的任何漏洞。然后,最终用户计算环境评分,他们可以识别任何可能影响漏洞威胁的独特因素,并更改基本和时间评分。
背景很重要
基础分数可以单独使用。要获得更准确的分数,可以应用时间和环境分数。只有最终用户知道他们使用软件的环境,以及这样做是否会增加或消除漏洞的威胁。
CVSS分数不反映通过漏洞攻击的潜在影响或可能性,因此应用上下文是重要的。不要仅仅依赖于CVSS分数来保护对你的组织至关重要的系统。
黑客并不关注高分漏洞。利用低分漏洞可能对他们来说更有利可图,特别是如果忽略该漏洞而将注意力集中在得分较高的漏洞上。
如何应用 CVSS 分数
一个有效的漏洞管理团队将使用 CVSS
分数作为基础,然后应用环境和时间分数以及他们独有的变量,以更准确地了解漏洞的可利用性及其可能对其组织产生的影响。此外还需要结合企业的其他法规,来评定利用该漏洞可能造成的潜在损害并确定修补的优先级。
可以使用在线数据库和威胁情报工具来修改基本 CVSS
分数。这些可以帮助您应用环境变量来确定漏洞的可利用性和影响。然后,您可以优先考虑那些一旦被利用就会对您的组织造成最大危险的漏洞。
总结CVSS
软件漏洞带来的无穷无尽的风险给虚拟机管理人员带来了挑战。CVSS帮助识别潜在漏洞并评估其严重性的关键工具。标准化平台有助于简化组织的流程,以帮助加强其IT安全。
文章来源:
https://www.cybersecurity-insiders.com/understanding-cvss-applications-of-
the-common-vulnerability-scoring-system/
网络安全工程师企业级学习路线
这时候你当然需要一份系统性的学习路线
如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。
一些我收集的网络安全自学入门书籍
一些我白嫖到的不错的视频教程:
上述资料【扫下方二维码】就可以领取了,无偿分享
