Wie Werden Sicherheitslücken Eingestuft? (CVSS)

0
54
Shutterstock/hywards

Wenn Sie ‘ ve wurde Lesen über Sicherheits-bugs online, Sie haben wahrscheinlich lief in Ergebnisse, die zu exploits. Diese sind erzielte basierend auf dem Common Vulnerability Scoring System, verwendet, um zu kategorisieren-exploits in das Common Vulnerability and Exposures Datenbank. Wir werden diskutieren, was macht das Ergebnis.

Was Beeinflusst den Score?

Die total base score rangiert von 0 bis 10, und besteht aus drei Teilbewertungen—ausnutzbar, Auswirkungen und Umfang. Eine niedrigere ausnutzbar score ist schlimmer, als einen höheren impact score. Eine Schwachstelle kann leicht ausgenutzt werden, die über das Netzwerk von jemand und hat einen hohen Einfluss kritisch werden würde, und ein exploit erfordert physischen Zugriff oder der Interaktion des Benutzers und nicht viel tun, wäre sehr geringe Auswirkungen.

Ausnutzbar bezieht sich darauf, wie leicht eine Schwachstelle kann von einem Angreifer ausgenutzt werden. Je weniger Dinge, die erforderlich sind, aus der Angreifer, desto leichter ist es zu nutzen. Es gibt vier Komponenten, diese:

  • Angriffsmethode ist, was network-relation muss der Angreifer auf die Quelle zu ziehen, aus die nutzen. Die einfachste und schwerste ist Netzwerk, was bedeutet, dass der exploit abgezogen werden kann von jedermann mit Zugang der öffentlichkeit. Benachbart bedeutet, der Angreifer muss auf einem freigegebenen Netzwerk-und lokalen Mitteln, lokalen Netzwerk. Physikalische erfordert die direkte Interaktion und oft Benutzer-Interaktion.
  • Angriff Komplexität bezieht sich auf ein bisschen mehr als nur, wie kompliziert es ist. Höhere attack-Komplexität bedeutet, dass mehr Stücke müssen an den richtigen stellen, um die Sicherheitsanfälligkeit auszunutzen. Geringe Komplexität bedeutet, dass der exploit der ausgenutzt werden kann, auf einer Vielzahl von Systemen.
  • Berechtigungen Erforderlich. None bedeutet, dass es ausgenutzt werden kann von jedermann über das web,
    Low bedeutet, dass der Angreifer eine Art von Berechtigung, und High bedeutet, dass der Benutzer muss über erweiterte Privilegien ausnutzen.
  • Interaktion des Benutzers, ob, oder ob nicht das Ziel, etwas tun müssen, für den exploit zu arbeiten. Dieser Indikator ist Binär, entweder Interaktion erforderlich ist oder nicht.

Auswirkungen bezieht sich darauf, wie stark der Angriff ist, und wie viel es wirkt sich auf das Zielsystem. Diese hat drei Komponenten:

  • Vertraulichkeit, oder die unbefugte liest (d.h., ob oder ob nicht der Angriff ermöglicht den Zugriff auf Ressourcen, die eigentlich privat). Low ist eine grundlegende Exposition von einigen privaten Informationen, und High bedeutet, dass die schwere der Daten (oft Kundendaten) ausgesetzt sein könnten.
  • Integrität, oder die unbefugte schreibt. Low bezieht sich auf die Angreifer zu schreiben, um bestimmte Dateien und High gibt der Angreifer Schreibzugriff auf alles innerhalb der angestrebten Umfang zu.
  • Die Verfügbarkeit bezieht sich auf, ob oder nicht der exploit kann dazu führen, eine Anwendung zu gehen, einschließlich, aber nicht beschränkt auf DDoS-Angriffsmethoden. Low bedeutet, dass Teile der Anwendung können Sie offline gehen, und High bedeutet, dass das meiste der oder die gesamte Anwendung gebracht werden können mit dem exploit. Dies ist anders. Vertraulichkeit und Integrität beziehen sich auf die Daten von der Anwendung verwendet werden, und die Verfügbarkeit bezieht sich auf den Betrieb des Dienstes selbst. Es gibt Szenarien, in denen diese überlappen kann Integrität—ein exploit geben einem Angreifer die volle schreib-Zugriff auf das system kann auch geben Ihnen die Möglichkeit, löschen Sie die Anwendung selbst.

Schließlich Anwendungsbereich. Dieses ist ein wenig komplizierter, aber es ist im Grunde bezieht sich auf, ob oder nicht der exploit ermöglicht den Zugriff auf Ressourcen außerhalb der Kontrolle des Ziels, in der Regel außerhalb einer Sicherheits-sandbox oder Barriere. Der CVSS Leitfaden definiert es als “wenn eine Sicherheitsgrenze Mechanismus, der die Trennung der Komponenten wird umgangen durch die aufgrund einer Sicherheitslücke und das führt zu einer Sicherheit Auswirkungen außerhalb des security-Bereichs der betroffenen Komponente.”

Beispiele HIERFÜR sind eine Sicherheitsanfälligkeit in einer virtuellen Maschine, die schreibt auf dem host, Schwachstellen in Mikroprozessoren, die den Zugang zu anderen threads, cross-site-scripting-oder URL-Umleitung Angriffe geben kann, dass der Zugang zu einem Benutzer-browser, und sandbox-escape).

Schließlich, diese läuft alles auf eine einzige Partitur, und eine Beschreibung, wie “Hoch” oder “Kritisch” beschreibt den gesamten Schweregrad.

Neben der Partitur, werden Sie oft sehen die vector-string, der sieht zunächst verwirrend, ist aber eigentlich nur abgekürzt Schlüssel-Wert-Paare für jede Komponente.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/N:U/C:H/I:L/A:N

Sie können tatsächlich nehmen Sie eine beliebige Vektor-string, und laden Sie es in den Rechner, nach dem hashtag, um einen besseren Blick auf Sie:

https://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:N/AC:L/PR:N/UI:N/N:U/C:H/I:L/A:N

Die anderen wichtigen Punkte, die Zeitliche Partitur, die tracks wie ein exploit der Schweregrad im Laufe der Zeit ändert. Diese enthält code, der Reife (wenn der exploit ist in der Praxis genutzt), ob oder nicht, jede Art von Updates, und wie sicher ist der Verlag über die details und den exploit.