Bosh sahifa Wiki CVSS

CVSS

CVSS — zaiflikning texnik jiddiyligini bir xil mezonlar asosida ifodalash uchun ishlatiladigan ochiq scoring tizimi. To‘liq nomi Common Vulnerability Scoring System. U zaiflikka 0.0 dan 10.0 gacha ball va vector string beradi.

CVSS riskni to‘liq baholamaydi. U asosan zaiflikning texnik xususiyatlarini standartlashtiradi. Tashkilotning real xavfi asset qiymati, internetga ochiqlik, mavjud exploit, compensating control va business ta’sir bilan birga baholanadi.

Asosiy vazifa

Turli vendor va security jamoalari ayni zaiflikni bir xil tilda ifodalashi kerak.

CVSS quyidagilarga yordam beradi:

  • zaiflik jiddiyligini solishtirish;
  • scanner natijalarini tartiblash;
  • patch prioritetini boshlang‘ich baholash;
  • advisory’da texnik ta’sirni ko‘rsatish;
  • vulnerability management jarayonini standartlashtirish.

Ballning o‘zi yakuniy patch qarorini bermaydi.

CVSS versiyasi

Amaliyotda CVSSning turli versiyalari uchraydi. CVSS v3.1 ko‘p eski advisory va scannerlarda mavjud. CVSS v4.0 esa metric tuzilishini yangilab, threat, environmental va supplemental ma’lumotlarni aniqroq ajratadi.

Recordda ball bilan birga qaysi versiya ishlatilgani ko‘rsatiladi. Chunki v3.1 va v4.0 vectorlari bir xil talqin qilinmaydi.

Base metrics

Base metrics zaiflikning asosiy va nisbatan o‘zgarmas texnik xususiyatlarini ifodalaydi.

Ular quyidagi savollarga javob beradi:

  • hujum network orqali bajariladimi;
  • attacker qanday murakkablikka duch keladi;
  • privilege kerakmi;
  • user interaction talab qilinadimi;
  • confidentiality buziladimi;
  • integrity buziladimi;
  • availability buziladimi.

Base score zaiflikning umumiy texnik jiddiyligini beradi.

Attack Vector

Attack Vector exploit qaysi masofadan bajarilishini ifodalaydi.

Masalan:

  • Network;
  • Adjacent;
  • Local;
  • Physical.

Network qiymati attacker internet yoki boshqa routed network orqali hujum qilishi mumkinligini anglatishi mumkin. Physical qiymat esa qurilmaga fizik kirish talab qiladi.

Attack Complexity

Attack Complexity hujumni muvaffaqiyatli qilish uchun attacker nazorat qila olmaydigan qo‘shimcha shartlar mavjudligini baholaydi.

Masalan:

  • maxsus race condition;
  • noan’anaviy konfiguratsiya;
  • ma’lum oldindan mavjud holat.

Bu exploit code yozish qanchalik qiyinligini to‘liq o‘lchamaydi.

Privileges Required

Bu metric hujumdan oldin attacker qanday huquqqa ega bo‘lishi kerakligini ko‘rsatadi.

Variantlar:

  • hech qanday account kerak emas;
  • oddiy user privilege;
  • yuqori privilege.

Authentication talab qilinmaydigan remote vulnerability odatda ko‘proq xavfli bo‘lishi mumkin.

User Interaction

Ba’zi zaifliklar victim foydalanuvchining amaliga tayanadi.

Masalan:

  • zararli faylni ochish;
  • linkni bosish;
  • sahifaga kirish;
  • permission berish.

User interaction talab qilinmasa exploit avtomatlashtirish osonroq bo‘lishi mumkin.

Impact metrics

Impact uch asosiy security xususiyatiga qaraydi:

  • Confidentiality — ma’lumot oshkor bo‘lishi;
  • Integrity — ma’lumot yoki tizim o‘zgarishi;
  • Availabilityservice ishlashining buzilishi.

Ta’sir yo‘q, past yoki yuqori qiymat bilan ifodalanishi mumkin.

Threat metrics

CVSS v4.0 threat ma’lumotini alohida hisobga oladi.

Masalan, exploit maturity zaiflik uchun:

  • real exploit mavjudmi;
  • faqat proof-of-concept bormi;
  • exploit haqida ishonchli ma’lumot yo‘qmi

kabi holatlarni ifodalashi mumkin.

Threat vaqt o‘tishi bilan o‘zgaradi. Bugun exploit yo‘q bo‘lgan zaiflik ertaga faol hujumda ishlatilishi mumkin.

Environmental metrics

Environmental metrics zaiflikning ma’lum tashkilot yoki muhitdagi ahamiyatini moslashtiradi.

Masalan:

  • affected system qanchalik muhim;
  • confidentiality muhimligi;
  • integrity talabi;
  • availability talabi;
  • local security control;
  • modified attack condition.

Bir xil CVE ikki tashkilotda turli amaliy ustuvorlikka ega bo‘lishi mumkin.

Supplemental metrics

CVSS v4.0 supplemental metrics qo‘shimcha kontekst beradi. Ular final score’ni to‘g‘ridan-to‘g‘ri o‘zgartirmasligi mumkin, ammo avtomatlashtirish, recovery, safety yoki provider urgency kabi xususiyatlarni tushuntiradi.

Bu ma’lumot patch va incident qarorida foydali.

Vector string

CVSS qiymatlari qisqa text ko‘rinishida yoziladi.

Masalan, vector string versiya va metric qiymatlarini saqlaydi.

Afzalligi:

  • score qanday hisoblanganini ko‘rsatadi;
  • boshqa calculatorga ko‘chiriladi;
  • qayta hisoblash mumkin;
  • ball ortidagi assumptions yashirin qolmaydi.

Faqat 9.8 ballni saqlashdan ko‘ra vectorni ham saqlash afzal.

Severity nomlari

Ball ko‘pincha None, Low, Medium, High va Critical kabi guruhlarga ajratiladi.

Bu nomlar triage’ni soddalashtiradi.

Lekin bir xil “Critical” toifadagi ikki zaiflik real exploitability va asset context bo‘yicha keskin farq qilishi mumkin.

CVSS va risk

Risk soddalashtirib quyidagilar kombinatsiyasi sifatida qaraladi:

Risk = ehtimollik × ta’sir × aktiv konteksti

CVSS zaiflikning texnik tomonini beradi.

U quyidagilarni to‘liq hisoblamaydi:

  • tashkilot daromadi;
  • data qiymati;
  • legal ta’sir;
  • internet exposure;
  • attacker activity;
  • patch xarajati;
  • service dependency.

Prioritetlash

Yaxshi vulnerability management quyidagilarni birga ko‘radi:

  • CVSS;
  • active exploitation;
  • asset criticality;
  • exposure;
  • exploit mavjudligi;
  • compensating control;
  • fix mavjudligi;
  • business deadline.

Past CVSSli internetga ochiq zaiflik ayrim holatda yuqori CVSSli, ammo o‘chiq feature’dan ustun turishi mumkin.

Score nomenklaturasi

CVSS v4.0 score qaysi metric guruhlari ishlatilganini ko‘rsatadigan nomenklaturaga ega bo‘lishi mumkin. Masalan, faqat Base yoki Base bilan Threat va Environmental ma’lumotlari qo‘llangan holatlar farqlanadi. Bu userga ball qanchalik kontekstual ekanini tushunishga yordam beradi.

Hisobni qayta ko‘rib chiqish

Zaiflik haqida yangi exploit, configuration yoki impact ma’lumoti chiqsa vector qayta baholanishi mumkin. Vendor, vulnerability database va tashkilot ichki jamoasi turli vaqtda boshqa vector berishi ehtimoli bor. Farqni yashirmasdan qaysi assumption o‘zgargani ko‘rsatiladi.

Bog‘liq tushunchalar

Common Vulnerability Scoring System, CVE, CWE, Vulnerability, Base metrics, Threat metrics, Environmental metrics, Vector string, Risk, Patch management