Hodnocení zranitelností – 5. díl

Pro hodnocení zranitelností můžete použít CVSS kalkulátor, který se nachází na stránkách organizace First.

Výhoda hodnocení zranitelností pomocí této celosvětově uznávané metodiky spočívá v tom, že hodnocení závažnosti dané zranitelnosti není založeno na nějakém subjektivním hodnocení, nýbrž na zodpovězení několika vcelku jednoduchých otázek.

Jedná se o otázky typu, odkud je možné útok vést, zda je možné jej kdykoliv zopakovat, zda je nutné disponovat nějakými právy v systému, zda je vyžadovaná nějaká součinnost ze strany uživatele, kde dochází k narušení důvěrnosti, integrity a dostupnosti a v jakém rozsahu, vizte minulý díl.

Důležité však je, že v okamžiku, kdy zvolíte určitou odpověď, je dané odpovědi přisouzeno určité bodové ohodnocení, a tento faktor pak vstupuje do výpočtu výsledné hodnoty zranitelnosti. Jak přesně výpočet hodnoty zranitelnosti probíhá, je uvedeno zde.

Vector String

Kromě toho dochází k sestavení tzv. Vector String, což je řetězec, který obsahuje informaci o tom, jak jste odpověděli na jednotlivé otázky. Každé otázce a odpovědi, je totiž přiřazen určitý kód, takže ve výsledku vznikne např. následující řetězec CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L.

Ptáte-li se, jak tento řetězec interpretovat, tak vězte, že nejprve je uvedeno, že je použita metodika hodnocení CVSS ve verzi 3.0 a dále pak vždy za lomítkem následuje zkrácený název daného faktoru a za dvojtečkou pak jaká byla zvolena odpověď na danou otázku.

Ten řetězec je předáván jako parametr CVSS kalkulátoru, takže v okamžiku, kdy daný řetězec znáte, tak si můžete i snadno zobrazit, jak se k výsledné hodnotě zranitelnosti dospělo. Stačí jen do adresního řádku prohlížeče za https://www.first.org/cvss/calculator/3.0# doplnit daný řetězec, v našem případě např. CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L.

Base Score

Tímto způsobem pak můžete hodnotit i zranitelnosti ve vašich systémech, které jste identifikovali např. pomocí penetračních testů. Hodnocení zranitelností dle CVSS se provádí ve třech sekcích, přičemž stačí vyplnit jen tu první, která je označena jako Base Score. To se v průběhu životního cyklu zranitelnosti nemění a zůstává stejné. Tohle je ostatně hodnota, která je uváděna u nově objevených zranitelností.

Temporal Score

Jinak tomu však je u hodnoty Temporal Score, která se mění v závislosti na tom, zda je např. k dispozici plně funkční exploit, existuje nějaký fix, nebo existence dané zranitelnosti byla potvrzena nějakou důvěryhodnou autoritou. Tato hodnota se může v čase měnit oběma směry. Ze začátku může růst až na hodnotu Base Score, ale pak by měla s vydáním fixu mírně klesnout.

Environmental Score

No a pak tu máme Environmental Score, které se týká přímo vašeho prostředí a vaší organizace, a jeho hodnota může být vyšší nebo i nižší než je oficiální Base Score, protože vy můžete mít implementovány určité ochrany snižující danou zranitelnost anebo můžete mít jiné požadavky na důvěrnost, integritu a dostupnost.

Pokud byste se rozhodli metodiku CVSS pro hodnocení zranitelností používat, možná by se vám mohl hodit následující spreadsheet, který obsahuje vzorec pro výpočet Base Score a sestavení Vector String.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,


K článku “Hodnocení zranitelností – 5. díl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: