Hodnocení zranitelností – 7. díl
Pokud jste při hodnocení zranitelností byli zvyklí pracovat s Exploitability Subscore a Impact Subscore, tak pozor, v CVSSv3 je to trochu jinak.
Zatímco Base Subscore, zkr. BS se liší, ale ne až tak výrazně, tak zásadní rozdíl spočívá především v hodnocení vyjádřeném jako Exploitability Subscore, zkr. ES a Impact Subscore, zkr. IS.
Tato subscore CVSS kalkulátor na stránkách First nezobrazuje, avšak NVD kalkulátor ano, a to jak pro CVSSv2 tak i pro CVSSv3. Problém je, že ES v CVSSv2 může nabývat hodnot od 1,2 do 10 a v CVSSv3 pak hodnot od 0,1 do 3,9. Se stejným problémem se pak setkáváme i u IS, které v CVSSv2 může nabývat hodnot od 0 do 10 a v CVSSv3 pak 0 až 6.
CVSSv2 | CVSSv3 | |
Exploitability Subscore | 1,2-10 | 0,1-3,9 |
Impact Subscore | 0-10 | 0-6 |
Jinými slovy ES i IS v CVSSv3 nemůže hodnoty 10 nikdy dosáhnout a v zásadě je tak neporovnatelné s CVSSv2!
Dále je nutné se zamyslet nad tím, na čem je závažnost zranitelnosti více závislá, zda na ES nebo IS. V zásadě mohou nastat dvě extrémní situace.
CVSSv2 | CVSSv3 | |||
Exploitability Subscore | 1,2 | 10 | 0,1 nebo 0,2 | 3,9 |
Impact Subscore | 10 | 2,9 | 5,9 nebo 6 | 1,4 |
Base score | 5,9 | 5,0 | 6 nebo 6,8 | 5,3 nebo 5,8 |
Rozdíl | 0,9 | 1,5 |
Zranitelnost může mít nejnižší ES a nejvyšší IS anebo naopak nejvyšší ES a nejnižší IS.
V obou případech dochází k jakémusi zprůměrování, takže hodnota zranitelnosti se výrazně neliší. Nicméně lze pozorovat, že v hodnocení CVSS obecně má větší váhu IS a v CVSSv3 je hodnocení rozkolísanější.
Štítky: hodnocení zranitelností
K článku “Hodnocení zranitelností – 7. díl” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.