Hodnocení zranitelností – 8. díl

Prvního listopadu spatřila světlo světa nová verze systému pro hodnocení zranitelností, CVSS v4.0.

Podívejme se, co je nového. Změny se objevují jak ve stávajících metrikách, tak se zde objevují i zcela nové metriky a samozřejmě i kalkulátor.

Base score se označuje CVSS-B, Base a Environmental jako CVSS-BE, Base a Threat jako CVSS-BT a Base, Threat a Environmental jako CVSS-BTE. CVSS-B může nabývat více hodnot, pokud se zranitelnost nachází v různých systémech a skutečně má různé dopady, zpravidla skrze rozdílnou složitost útoku (AC).

Attack Requirements

V základních metrikách se objevilo nové kritérium a to Attack Requirements (AT), kde se ptáme, zda je možné zranitelnosti zneužít kdykoliv None (N) anebo musí být útok opakován vícekrát, než se podaří zranitelnosti zneužít anebo musí zároveň být zkompilováno s konkrétním modulem nebo provozováno s určitou konfigurací. Pokud ano, tak pak nabývá hodnoty Present (P).

User Interaction

U User Interaction (UI) došlo ke změně a nově se rozlišuje jaká je interakce ze strany uživatele, nejen zda žádná (N), ale i zda je Active (A), tedy zda musí uživatel na něco kliknout, vložit skript apod. Patří sem např. reflected XSS. Anebo zda je Passive (P) a uživatel musí být aspoň přihlášen a provádět běžné operace, navštívit web, zavítat na určitou stránku, otevřít soubor, vybrat konkrétní položku v menu apod. Patří sem např. stored XSS.

Scope

Scope se rozpadá na Vulnerable System Impact Metrics a Subsequent System Impact Metrics, kde hodnotíme dopad na důvěrnost (VC/SC), integritu (VI/SI) a dostupnost (VA/SA) tak jak jsme zvyklí, ale v prvním v případě se hodnocení vztahuje ke zranitelnému systém a ve druhém k následnému systému. A i zde se naráží na pro naše stálé čtenáře známý problém s hodnocením neodmítnutelnosti (nonrepudiation), která je zde považována za součást integrity.

Threat Metrics

Z Exploit Code Maturity (E) se stala Exploit Maturity a samostatná Threat metrika a nabývá hodnot NotDefined (x), aktivně zneužíváno, Attacked (A), byl zveřejněn důkaz, Proof-of-Concept (P) a nic se neví, Unreported (U).

Supplemental Metrics

Zcela novou sadu metrik pak představují Supplemental Metrics, které vůbec nevstupují do hodnocení CVSS-BTE, nýbrž jen rozšiřují CVSS vector string. Jedná se o hodnocení dopadu na bezpečnost lidí Safety (S), kde může nabývat hodnot zanedbatelná (N) nebo přítomná (P), kde nějaká obava je na místě, protože se jedná o zranitelnost, která by mohla vést i k poškození zdraví nebo smrti.

Automatizovatelné, Automatable (AU), kdy se ptáme, zda může útočník automatizovat zneužití této zranitelnosti, má se tím na mysli reconnaissance, weaponization, delivery, and exploitation v rámci útoku. Hodnoty jsou ano (A) nebo ne (N).

Obnova systému, Recovery (R), hodnotí odolnost komponenty/systému pro obnovení služeb a nabývá hodnot Automatic (A), kdy se systém obnoví sám, User (U), kdy je nutná nějaká akce ze strany uživatele a irrecoverable (I), kdy se neobnoví vůbec.

Hustota hodnot, Value Density (V) se ptá, zda v rámci jednoho zneužití zranitelnosti se útočník dostane k prostředkům, které jsou vlastněné a udržované uživateli, jsou tzv. rozptýlené, Diffuse (D) anebo prostředkům, které jsou spravovány organizací a jsou koncentrované na jednom místě, Concentrated (C).

Nároky na zvládnutí zranitelnosti, Vulnerability Response Effort (RE) pak určuje, zda lze jsou ony nároky nízké, Low (L), které nevyžadují aktualizaci, střední Moderate (M) jsou např. ovladače nebo vysoké, High (H) nízkoúrovňový software nebo firmware, který vyžaduje restart.

Naléhavost zranitelnosti ze strany poskytovatele, Provider Urgence (U) představuje jakýsi pokus o kvalitativní hodnocení a nabývá hodnot Clear, Green, Amber a Red, které vyjadřují naléhavost jako že poskytovatel vyhodnotil dopad této chyby zabezpečení jako informační, méně naléhavý, méně naléhavý a nejnaléhavější.

Zdroj: https://www.first.org/cvss/v4.0/specification-document

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Hodnocení zranitelností – 8. díl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: