业务脆弱性评估是业务持续性保障(BCM)的基础数据

业务脆弱性评估是业务持续性保障 (BCM) 的基础数据
---CVSS 方法的理解
 
从风险评估的观点来看,业务的中断是由于系统自身的故障或外部的攻击,而这些攻击是因为系统本身存在“漏洞与弱点”,攻击者利用了这些漏洞与弱点,给系统造成了威胁。从软件设计的观点来看,任何系统的设计不可能没有“错误与 Bug ”,有系统平台带来的,有投资限制而不得以为之的,有开发时间紧张而难以考虑的,有开发者自身经验不足留下的,也有使用者“不良习惯”造成的 所以业务保障首先要了解这些系统弱点,综合评估系统弱点可能带来的威胁,为保障措施的设计提供依据。
系统的风险评估可以分为系统、业务、功能模块、具体资产四个部分。一个系统由多个业务组成,每个业务可以分为多个功能模块组成,每个功能模块落实到多个硬件、软件来具体实现。对弱点的评估从低层的具体资产开始,加上组成系统时的环境因素,最后构成对整个系统弱点的评价。对系统的风险评估有多种定性与定量的方法,这里介绍的是 通用安全弱点评估系统 (CVSS: Common Vulnerability Scoring System)
CVSS 是一个行业的标准,主要目的是评估安全漏洞的严重性。 CVSS 是由几个通信领域和计算机安全领域的公司发起制定的,并 FIRST( 事件反应和安全小组论坛 ) 力支持的一种安全弱点评估系统, CVSS 一个开放并且能够被产品厂商免费采用的标准, 它解决了先前安全弱点评估系统不相容的问题,并且提供一个简洁统一的安全弱点评分,从而方便了安全问题的交流与沟通,企业单位也可以在短时间内对安全漏洞作及时评估,把损失减小到最小。目前 Microsoft Oracle 等软件公司把 CVSS 作为其系统软件漏洞的安全评价方法。
CVSS 最初是 2005 2 月在美国国土安全部网站上公布的, 2007 6 月, FIRST 发布了这个标准的第二版 CVSS 2.0 CVSS 的目标是为所有软件安全漏洞提供一个严重程度的评级。评分系统把能够完全攻破操作系统层的已知安全漏洞评为基准分数 10 分。可以解释为: CVSS 基准分数为 10 分的安全漏洞是指能够完全攻破系统的安全漏洞,典型的结果是攻击者完全控制一个系统,包括操作系统层的管理或者 权限。
其实 CVSS 的设计思路可以扩展到对业务系统的脆弱性评估,甚至是整个组织系统的脆弱性评估,但是由于 CVSS 本身侧重于软件的漏洞分析,所以很多参数设计需要进一步的扩展,下面我们具体了解一下 CVSS
 
一、 CVSS 的漏洞评估思路:
CVSS 把软件 漏洞 的评价分为三个纬度:基本度量、时间度量、环境度量。基本度量是基本安全属性,是对漏洞本身的安全度量,以及评价在其生命周期中的变化,也就是时间度量,最后,作为资产的使用、业务的运营,其所处的环境也起着重要的影响。所以 CVSS 的计算可以说是三个度量纬度的“滚动叠代”。
1 、基本度量:主要是安全的基本属性,机密性 ( 保密性 ) 、一致性 ( 完整性 ) 、可用性是信息安全的三个基本属性 (CIA) ,其重要性不说了。 CVSS 在度量中为了把三个属性相关联,采用了属性加权重的方式,把漏洞对每个安全属性的影响“分布”开来,每个属性拿出一半的权重给其它两个属性,最后三个属性值求和,这样做的可以突出漏洞在某一方面对整个软件的影响。其余的几个属性,是对 CIA 的补充,也是该漏洞可被利用的途径,也是软件设计者让用户使用软件必需经过的通道。
n         访问向量:也是访问者的“距离”,是从业务访问路径角度来定义的, CVSS 认为本地的安全大,异地访问给识别用户带来困难,也给仿冒者提供方便,所以安全方面给值 0.7
n         访问复杂性:是对业务访问的入侵可能性来定义的,越复杂越安全,但业务访问是公开的,很容易获取,所以只给了 0.8
n         签权:是业务对用户的识别。没有用户鉴别,也就没有办法对用户的行为审计,对安全的影响是很大的,所以给值为 0.6
从基本度量的六个参数来看, CVSS 是基于定性的评估,主观的因素很多,并且没有针对漏洞的性质进一步的区分,若对整个业务评估还显不足。
2 、时间度量: CVSS 在时间上的考虑有些不容易被理解,主要是从漏洞信息的传播与损失来着想,漏洞是否保密?若不被人所知,漏洞也不会形成威胁。漏洞被公布后,就看它被人利用的可能性,以及漏洞可被修复的等级,若能可以及时被修复,漏洞的威胁也要小很多,这也是我常见的漏洞补丁。
n         可被利用性:实际上是使用漏洞的技术门槛, CVSS 给出了定性评价,从不知道是否可利用,到可以实际利用,到非常方便地利用。
n         可被修复性:补救措施的门槛,也就是补丁或替代方法,但毕竟是后续的补救,需要使用者另外关注,所以即使可修复,也是从 0.87 比例开始。
n         报告的机密性:就是漏洞的传播速度,漏洞是否为人所了解,能绝对保密,就没有威胁。这一方面很重要,因为很多漏洞的发现机构都“及时公开”,不仅方便了厂家的及时推出补丁,也方便了攻击者获得漏洞信息,开发新型攻击手段。
漏洞是软件开发中不可避免的,从它被发现开始,到可以很方便地被修复,是其“生命周期”。在其“生长”过程中,传播速度与可利用门槛是它能带来危害的重要参数。
3 、环境度量:由于该漏洞的出现,也会对整个业务其他部分产生负面的影响,就是附带的损失影响,这是一个系数,最高到 0.5 。另外 CVSS 对资产是否分布式很关注,因为分布的管理相对困难,增加了漏洞的可被利用性。
 
环境度量值的范围是 1~10 ,很多软件公司就以这个数值作为软件漏洞的评价数值,数值越大越危险。 Oracle 公司目前公布最威胁的漏洞为 7.5
在风险评估领域,把环境度量进一步变换成 1~3 之间的一个数值 V ,表示评估对象的脆弱性数值。其意义如下:
脆弱性值
定义
1
严重程度高,需要立即整改或加固
2
严重程度中,需要给予高度重视,在一定时间内整改或加固
3
严重程度低,需要给予关注,在适当时候加以整改或加固
 
二、 CVSS 的计算公式与参数
    1 、基本度量值的计算公式与参数
    2 、时间度量值的计算公式与参数
    3 、环境度量值的计算公式与参数
 
  4 、脆弱性值计算公式
      V = INT [ ( 环境度量值 * 3) / 10 +0.5 ]
 

你可能感兴趣的:(漏洞,风险评估,业务安全,BCM,CVSS)