Hodnocení zranitelností – 4. díl

V červnu 2015 byla uvolněna nová verze metodiky pro hodnocení zranitelností CVSS v3.0. Ta oproti předchozí verzi přináší několik změn, které mají podstatný dopad na hodnocení zranitelností.

Pojďme se společně podívat, jaké změny to jsou, a jak ovlivňují výsledek hodnocení.

Attack vector

Access vector byl přejmenován na Attack vector avšak nadále platí, že s čím větší vzdálenosti je možné vést útok, tím vyšší je skóre. Nově se rozlišuje, zda je možné útok realizovat jen díky možnosti se přihlásit lokálně do daného systému (Local), anebo zda je nutné mít i fyzický přístup k danému zařízení (Physical).

Attack complexity

Access komplexity byl rozdělen na Attack complexity a User Interaction. Attack complexity může nabývat jen dvou hodnot a to Low (L), kdy k realizaci útoku nemusí být splněny žádné podmínky nebo High (H), kdy naopak musí být splněny určité podmínky.

User Interaction

User Interaction bylo vyčleněno z  Access complexity a může rovněž nabývat dvou hodnot, a to None (N), kdy žádná interakce ze strany oběti není k realizaci útoku nutná anebo Required (R), kdy jak již sama hodnota napovídá, je nějak interakce ze strany oběti vyžadována.

Privileges Required

Zde v zásadě došlo k přejmenování Authentication a k posunu významu tohoto kritéria hodnocení, které může nabývat třech hodnot. None (N), kdy útočník nemusí disponovat žádným účtem v systému, Low (L), kdy má útočník v systému nějaký účet s omezenými právy a High (H), kdy má v systému účet se silnými právy.

Scope

Zcela nový kritériem je tzv. Scope, který bere v úvahu tu skutečnost, že byť se zranitelnost může nacházet v jedné komponentě, tak úspěšný útok může mít dopad na zcela jinou komponentu. Scope tak může nabývat dvou hodnot: Unchanged (U), zranitelnost i dopad se týká stejné komponenty a Changed (C), kdy zneužití zranitelnosti má dopad na jinou komponentu.

Impact metrics

Zde se v zásadě nic nezměnilo, tedy kromě toho, že u Confidentiality, Integrity a Availability impact metrik byl pojem Partial (P) nahrazen pojmem Low (L) a Complete (C) nahrazen High (H). Osobně mi přišly pojmy Partial a Full výstižnější, ale budiž.

Temporal matrix

V zásadě došlo jen k přejmenování Exploitability na Exploit Code Maturity. Metriky Remediation Level a Report Confidence zůstávají beze změny.

Environmental matrix

Metriky Target Distribution a Collateral Damage Potential byly nahrazeny tzv. Modified factors, které umožňují hodnotiteli promítnout do hodnocení tu skutečnost, že může mít ve svém systému již implementována opatření, která mohou snižovat dopad.

Vyhodnocení zranitelností

Výsledkem hodnocení zranitelnosti je číslo z intervalu <0,10>, kdy 0 (žádná), 0,1 – 3,9 (nízká), 4,0 – 6,9 (střední), 7,0 – 8,9 (vysoká) a 9,0 – 10,0 (kritická). Vždy si ověřte, jaká verze metodika byla pro hodnocení zranitelností použita, protože mnohdy vychází při hodnocení stejné zranitelnosti naprosto rozdílné hodnoty.

Závěr: Celkově lze změny, které přinesla ve své 3. verzi metodika CVSS, hodnotit jako pozitivní. Rozhodování, jakou hodnotu u jednotlivých metrik zvolit, je přímočařejší.

uživatelské příručce v kapitole 5 dále najdete jednoduché a naprosto srozumitelné vysvětlení toho, jak jednotlivé metriky ovlivňují celkové skóre a osobně tuto část považuji za nejpřínosnější. Stejně tak vaši pozornosti doporučuji kapitolu 3, kde jsou vysvětleny nejčastější chyby, kterých se analytici při hodnocení zranitelností dopouští.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:


K článku “Hodnocení zranitelností – 4. díl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: