CVSS — zaiflikning texnik jiddiyligini bir xil mezonlar asosida ifodalash uchun ishlatiladigan ochiq scoring tizimi. To‘liq nomi Common Vulnerability Scoring System. U zaiflikka 0.0 dan 10.0 gacha ball va vector string beradi.
CVSS riskni to‘liq baholamaydi. U asosan zaiflikning texnik xususiyatlarini standartlashtiradi. Tashkilotning real xavfi asset qiymati, internetga ochiqlik, mavjud exploit, compensating control va business ta’sir bilan birga baholanadi.
Asosiy vazifa
Turli vendor va security jamoalari ayni zaiflikni bir xil tilda ifodalashi kerak.
CVSS quyidagilarga yordam beradi:
- zaiflik jiddiyligini solishtirish;
- scanner natijalarini tartiblash;
- patch prioritetini boshlang‘ich baholash;
- advisory’da texnik ta’sirni ko‘rsatish;
- vulnerability management jarayonini standartlashtirish.
Ballning o‘zi yakuniy patch qarorini bermaydi.
CVSS versiyasi
Amaliyotda CVSSning turli versiyalari uchraydi. CVSS v3.1 ko‘p eski advisory va scannerlarda mavjud. CVSS v4.0 esa metric tuzilishini yangilab, threat, environmental va supplemental ma’lumotlarni aniqroq ajratadi.
Recordda ball bilan birga qaysi versiya ishlatilgani ko‘rsatiladi. Chunki v3.1 va v4.0 vectorlari bir xil talqin qilinmaydi.
Base metrics
Base metrics zaiflikning asosiy va nisbatan o‘zgarmas texnik xususiyatlarini ifodalaydi.
Ular quyidagi savollarga javob beradi:
- hujum network orqali bajariladimi;
- attacker qanday murakkablikka duch keladi;
- privilege kerakmi;
- user interaction talab qilinadimi;
- confidentiality buziladimi;
- integrity buziladimi;
- availability buziladimi.
Base score zaiflikning umumiy texnik jiddiyligini beradi.
Attack Vector
Attack Vector exploit qaysi masofadan bajarilishini ifodalaydi.
Masalan:
- Network;
- Adjacent;
- Local;
- Physical.
Network qiymati attacker internet yoki boshqa routed network orqali hujum qilishi mumkinligini anglatishi mumkin. Physical qiymat esa qurilmaga fizik kirish talab qiladi.
Attack Complexity
Attack Complexity hujumni muvaffaqiyatli qilish uchun attacker nazorat qila olmaydigan qo‘shimcha shartlar mavjudligini baholaydi.
Masalan:
- maxsus race condition;
- noan’anaviy konfiguratsiya;
- ma’lum oldindan mavjud holat.
Bu exploit code yozish qanchalik qiyinligini to‘liq o‘lchamaydi.
Privileges Required
Bu metric hujumdan oldin attacker qanday huquqqa ega bo‘lishi kerakligini ko‘rsatadi.
Variantlar:
- hech qanday account kerak emas;
- oddiy user privilege;
- yuqori privilege.
Authentication talab qilinmaydigan remote vulnerability odatda ko‘proq xavfli bo‘lishi mumkin.
User Interaction
Ba’zi zaifliklar victim foydalanuvchining amaliga tayanadi.
Masalan:
- zararli faylni ochish;
- linkni bosish;
- sahifaga kirish;
- permission berish.
User interaction talab qilinmasa exploit avtomatlashtirish osonroq bo‘lishi mumkin.
Impact metrics
Impact uch asosiy security xususiyatiga qaraydi:
- Confidentiality — ma’lumot oshkor bo‘lishi;
- Integrity — ma’lumot yoki tizim o‘zgarishi;
- Availability — service ishlashining buzilishi.
Ta’sir yo‘q, past yoki yuqori qiymat bilan ifodalanishi mumkin.
Threat metrics
CVSS v4.0 threat ma’lumotini alohida hisobga oladi.
Masalan, exploit maturity zaiflik uchun:
kabi holatlarni ifodalashi mumkin.
Threat vaqt o‘tishi bilan o‘zgaradi. Bugun exploit yo‘q bo‘lgan zaiflik ertaga faol hujumda ishlatilishi mumkin.
Environmental metrics
Environmental metrics zaiflikning ma’lum tashkilot yoki muhitdagi ahamiyatini moslashtiradi.
Masalan:
- affected system qanchalik muhim;
- confidentiality muhimligi;
- integrity talabi;
- availability talabi;
- local security control;
- modified attack condition.
Bir xil CVE ikki tashkilotda turli amaliy ustuvorlikka ega bo‘lishi mumkin.
Supplemental metrics
CVSS v4.0 supplemental metrics qo‘shimcha kontekst beradi. Ular final score’ni to‘g‘ridan-to‘g‘ri o‘zgartirmasligi mumkin, ammo avtomatlashtirish, recovery, safety yoki provider urgency kabi xususiyatlarni tushuntiradi.
Bu ma’lumot patch va incident qarorida foydali.
Vector string
CVSS qiymatlari qisqa text ko‘rinishida yoziladi.
Masalan, vector string versiya va metric qiymatlarini saqlaydi.
Afzalligi:
- score qanday hisoblanganini ko‘rsatadi;
- boshqa calculatorga ko‘chiriladi;
- qayta hisoblash mumkin;
- ball ortidagi assumptions yashirin qolmaydi.
Faqat 9.8 ballni saqlashdan ko‘ra vectorni ham saqlash afzal.
Severity nomlari
Ball ko‘pincha None, Low, Medium, High va Critical kabi guruhlarga ajratiladi.
Bu nomlar triage’ni soddalashtiradi.
Lekin bir xil “Critical” toifadagi ikki zaiflik real exploitability va asset context bo‘yicha keskin farq qilishi mumkin.
CVSS va risk
Risk soddalashtirib quyidagilar kombinatsiyasi sifatida qaraladi:
Risk = ehtimollik × ta’sir × aktiv konteksti
CVSS zaiflikning texnik tomonini beradi.
U quyidagilarni to‘liq hisoblamaydi:
- tashkilot daromadi;
- data qiymati;
- legal ta’sir;
- internet exposure;
- attacker activity;
- patch xarajati;
- service dependency.
Prioritetlash
Yaxshi vulnerability management quyidagilarni birga ko‘radi:
- CVSS;
- active exploitation;
- asset criticality;
- exposure;
- exploit mavjudligi;
- compensating control;
- fix mavjudligi;
- business deadline.
Past CVSSli internetga ochiq zaiflik ayrim holatda yuqori CVSSli, ammo o‘chiq feature’dan ustun turishi mumkin.
Score nomenklaturasi
CVSS v4.0 score qaysi metric guruhlari ishlatilganini ko‘rsatadigan nomenklaturaga ega bo‘lishi mumkin. Masalan, faqat Base yoki Base bilan Threat va Environmental ma’lumotlari qo‘llangan holatlar farqlanadi. Bu userga ball qanchalik kontekstual ekanini tushunishga yordam beradi.
Hisobni qayta ko‘rib chiqish
Zaiflik haqida yangi exploit, configuration yoki impact ma’lumoti chiqsa vector qayta baholanishi mumkin. Vendor, vulnerability database va tashkilot ichki jamoasi turli vaqtda boshqa vector berishi ehtimoli bor. Farqni yashirmasdan qaysi assumption o‘zgargani ko‘rsatiladi.
Bog‘liq tushunchalar
Common Vulnerability Scoring System, CVE, CWE, Vulnerability, Base metrics, Threat metrics, Environmental metrics, Vector string, Risk, Patch management