Hodnocení zranitelností – 7. díl

Pokud jste při hodnocení zranitelností byli zvyklí pracovat s Exploitability Subscore a Impact Subscore, tak pozor, v CVSSv3 je to trochu jinak.

Zatímco Base Subscore, zkr. BS se liší, ale ne až tak výrazně, tak zásadní rozdíl spočívá především v hodnocení vyjádřeném jako Exploitability Subscore, zkr. ES a Impact Subscore, zkr. IS.

Tato subscore CVSS kalkulátor na stránkách First nezobrazuje, avšak NVD kalkulátor ano, a to jak pro CVSSv2 tak i pro CVSSv3. Problém je, že ES v CVSSv2 může nabývat hodnot od 1,2 do 10 a v CVSSv3 pak hodnot od 0,1 do 3,9. Se stejným problémem se pak setkáváme i u IS, které v CVSSv2 může nabývat hodnot od 0 do 10 a v CVSSv3 pak 0 až 6.

CVSSv2 CVSSv3
Exploitability Subscore 1,2-10 0,1-3,9
Impact Subscore 0-10 0-6

Jinými slovy ES i IS v CVSSv3 nemůže hodnoty 10 nikdy dosáhnout a v zásadě je tak neporovnatelné s CVSSv2!

Dále je nutné se zamyslet nad tím, na čem je závažnost zranitelnosti více závislá, zda na ES nebo IS. V zásadě mohou nastat dvě extrémní situace.

CVSSv2 CVSSv3
Exploitability Subscore 1,2 10 0,1 nebo 0,2 3,9
Impact Subscore 10 2,9 5,9 nebo 6 1,4
Base score 5,9 5,0 6 nebo 6,8 5,3 nebo 5,8
Rozdíl 0,9 1,5

Zranitelnost může mít nejnižší ES a nejvyšší IS anebo naopak nejvyšší ES a nejnižší IS.

V obou případech dochází k jakémusi zprůměrování, takže hodnota zranitelnosti se výrazně neliší. Nicméně lze pozorovat, že v hodnocení CVSS obecně má větší váhu IS a v CVSSv3 je hodnocení rozkolísanější.



Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on Facebook
Facebook
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Email this to someone
email
Print this page
Print

Štítky:


K článku “Hodnocení zranitelností – 7. díl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: