Ortak Güvenlik Açığı Puanlama Sistemi nedir?
Bir güvenlik açığının ciddiyeti, Ortak Güvenlik Açığı Puanlama Sistemi tarafından (0-10) bir sayıya düşürülür. Veri güvenliği grupları, zayıflıkları incelemek ve yöneticilerin programındaki bir zayıflığın bir özelliği olarak zayıflık gidermeye odaklanmak için alışkanlıkla CVSS değerlendirmelerini kullanır.
Dünya çapında 500'den fazla derneğe sahip ABD merkezli bir vakıf olan Olay Müdahale ve Güvenlik Ekipleri Forumu (FIRST), açık bir aşama olarak CVSS'ye ayak uydurur. Zayıflıkları derecelendirmek için açık, normalleştirilmiş bir yöntem kullanmak güçlü olsa da, ilişkinizde doğru bir şekilde kullanıldığını garanti etmek için CVSS'nin dezavantajlarını ve kesme noktalarını anlamak da önemlidir.
cvss 2.0 ve 3.0 incelemesinde, yeni çerçeve, BT tehlikelerini araştırmak ve tepki ihtiyaçlarını karakterize etmek için genel açık ve normalleştirilmiş yöntemin en son yorumudur. Yeni form, örneğin puanlama için tutarlılığın geliştirilmesi, CVSS son müşterilerini daha kolay yönlendirmek için Puanlama İpuçlarının değiştirilmesi ve günümüz sorunlarını daha makul hale getirmek için çerçevenin denetlenmesi gibi geliştirmeleri hatırlıyor.
CVSS Puan Metrikleri
Bu rakam, bir zayıflığın uzun vadede değişmeyecek veya ortaya çıktığı koşullardan etkilenmeyecek içsel niteliklerinin bir kısmının bir değerlendirmesidir. Temel puan iki alt denklemden oluşur: Kullanılabilirlik Alt Skoru ve Etki Alt Skoru, bunların her biri mütevazı ölçülerden oluşur.
Sömürülebilirlik Alt Puanı, çaresiz parçanın özelliklerine bağlıdır ve puanları, saldırıya karşı çok güçsüz olduğunu gösterir. Bu konudan yararlanmak ne kadar basitse, son puan o kadar yüksek olur. Matematiksel bir puan yerine, her ölçüm kendi değer düzenlemesi açısından değerlendirilir.
Saldırı Vektörü (AV) metriği, bir saldırganın bir zayıflıktan faydalanmasının ne kadar basit olduğunu gösterir. Saldırganın gerçekten orada bulunmasını gerektiren bir zayıflık, yakındaki bir kuruluştan yararlanılabilecek olandan daha düşük bir AV puanına sahip olacak, bu da bitişik bir kuruluştan vb.
Saldırı Karmaşıklığı (AC) ölçümü, saldırganın bir zayıflıktan etkin bir şekilde yararlanabilmesi için ön koşulları sağlar. Düşük bir puan, olağanüstü gereksinimlerin olmadığı anlamına gelir ve bir saldırgan, bir zayıflığı tekrar tekrar kullanabilir. Yüksek puan, saldırganın etkili olmadan önce belirli bir hedef hakkında daha fazla bilgiye ihtiyaç duyabileceğini gösterir.
Gerekli Ayrıcalıklar (PR) önlemi, bir saldırganın bir zayıflıktan yararlanmak için ihtiyaç duyduğu erişim derecesini gösterir: düşük özgürlükler, saldırının yalnızca temel müşteri ayarlarını ve kayıtlarını etkileyeceğini işaretleme; veya yüksek onur, saldırganın zayıflıktan etkin bir şekilde yararlanmak için yetkili onur veya benzer bir şey gerektireceği sonucuna varır.
Kullanıcı Etkileşimi (UI) ölçümü, saldırganın saldırıyı bitirmek için bir müşteriden daha yardıma ihtiyacı olup olmayacağından bağımsız olarak gösterir. Puanlamanın nihai hedefi için bu iki yönlü bir ölçümdür: muhtemelen gerekli ya da değil.
Üç standarda dayanan bu Ortak Güvenlik Açığı Puanlama Sistemi metriği puanı, tehlikeli eğlencelerin bir zayıflıktan nasıl yararlandığına ve onu düzeltmek için hangi seçenekleriniz olduğuna dair size üstün bir düşünce sağlar.
Hangi kodun veya paketlerden yararlanmanın "vahşi doğada" bulunduğunun ışığında, Exploit Code Maturity (E) metriği, bir zayıflıktan yararlanmanın ne kadar mantıklı olduğunu gösterir. Bu ölçüme "belirsiz" bir özgeçmiş ölçeği veya dinamik olarak daha ciddi dört puandan biri verilebilir: sorunlu, gerçekleştirilmiş maceraların olmadığı çıkarımı; fikrin doğrulanması, ancak bazı kodların var olduğunu öne sürmek, bir saldırıda kullanılması kabul edilemez; yararlı, işleyen kodun var olduğu çıkarımı; veya yüksek, herhangi bir çaba gerekmediğini veya erişilebilir kodun güvenilir bir şekilde başarılı olduğunu ve bağımsız olarak iletilebileceğini gösterir.
Düzeltme Düzeyi (RL) işareti, bir zayıflığa yönelebilecek basitliği yansıtır. Birçok yönden, tam tersi olması nedeniyle Exploit Code Maturity metriğine benzer. Çok iyi belirsiz veya dört derece olarak tahmin edilebilir: şifa düzenlemesi yoktur; resmi olmayan bir geçici çözüm vardır; geçici bir düzeltme var; veya bir otorite düzeltmesi var - üretici tarafından verilen kapsamlı bir düzenleme.
Rapor Güveni (RC) metriği, bir zayıflığın tereddütsüz olarak nasıl ilan edilebileceğine karar verir. Yabancılar, parçanın gerçek tüccarının algılamadığı zayıflıkları ayırt edebilir veya nedeni belirsiz olsa da bir zayıflık algılanabilir. Bu ölçüm belirsiz bırakılabilir veya üç sıralamadan birine indirgenebilir: zayıflık hakkında birkaç çelişkili rapor olduğunu gösteren belirsiz; birkaç temel inceliğin paylaşıldığını ve zayıflığın tekrarlanabilir olduğunu gösteren mantıklı, ancak ana itici güç belirsizdir; veya onaylandı, bu da zayıflığın amacının bilindiğini ve güvenilir bir şekilde tekrarlanma eğiliminde olduğunu gösterir.
Güvenlik Gereksinimleri Alt Puanı, belirli bir iklimde tahmin edildiği gibi Etki puanının üç bölümü ile karakterize edilir ve Değiştirilmiş Temel Puan, derneğin belirli iklimi göz önünde bulundurularak taban puanı oluşturan ölçümleri yeniden değerlendirir.
Ortak Güvenlik Açığı Puanlama Sistemi güvenlik metriği ya belirsizdir ya da üç puandan birine indirgenmiştir: düşük; büyük bir etki gösteren orta; ve yüksek, bu da yıkıcı bir etki gösteriyor.
Yenilenen taban puanlar, zayıflığın mevcut olabileceği bir durumun özel koşullarının dikkate alınması dışında, geçmişte olduğu gibi değerlendirilir.
CVE vs CVSS
Zayıf yönleri anlamakla ilgili olarak, hatırlanması gereken sayısız kısaltma vardır: CVE, CVSS, NVD ve NIST. temel Güvenlik Açıkları ve Etkilenmeler (CVE), Ortak Güvenlik Açıkları ve Etkilenmelerin kısaltmasıdır . Mitre, 1999'da CVE kimliğini, bir tasviri, tarihleri ve açıklamaları içeren serbestçe ortaya çıkarılan tüm zayıflıkların bir özeti olarak CVE'yi gönderdi. NIST, doğrudan Mitre CVE listesinden alınan bilgileri kullanan Ulusal Güvenlik Açığı Veritabanını 2005'in sonlarında ortaya koydu.
Güvenlik grupları, açık olmaları durumunda NVD'deki her CVE için düşürülen CVSS puanlarını görebilir. NVD, güvenlik gruplarının ürün, satıcı, çalışma çerçevesi, tip gibi çeşitli standartlar açısından sorgulama yapmasına izin vermesi nedeniyle özellikle önemlidir, oradan sınır gökyüzüdür.
İlişkiyi özetlemek için, zayıflıklar bir CVE ID ile bir özete eklenir ve durum izin verdiğinde bir CVSS puanı verilir.
Puanlama nasıl yapılır?
Hangi kaynakların savunmasız olduğunu ve bunlardan etkin bir şekilde yararlanıldığını varsayarak ne kadar zarar verilebileceğini bilmek önemlidir. CVSS puanlama çerçevesinin doğal ölçümü bu amaca hizmet eder.
Neyse ki, kullanılabilirlik ve etki gibi doğal modeller açısından kendi puanınızı belirlemek için NVD'nin mini bilgisayarını kullanabilirsiniz. Bir ana bilgisayardaki büyük bir zayıflıktan yararlanmanın kuruluşunuz için hiçbir etkisi olmaması gerçekten bu kadar önemli mi? CVSS 3.0'daki API güvenliği nedeniyle, doğrudan sipariş satırından veya komut dosyaları aracılığıyla bir hesap makinesini arayabilirsiniz.
CVSS Puan Derecelendirmesi
VTM veya infosec grubunuz, CVSS puanının yüksek veya temel olduğunu varsayarak endişelenebilir. En büyük farkı yaratan şey, kuruluşunuz için bir zayıflık duruşunun ne tür bir tehlikeye maruz kalmasıdır. Hassas bilgileri saklamayan ve derneğinizin VPN'inin arkasında olan ve gerçek bir macerası olan eski bir web sunucusundaki bir zayıflığı düşünün. CVSS taban puanının yüksek olmasına rağmen, zayıflık kuruluşunuz için önemli bir risk oluşturmaz. Buna göre, genel olarak Ortak Güvenlik Açığı Puanlama Sistemi, doğal etkileri dikkate alacak şekilde düşürülmelidir.
Yamasız bir zayıflıkla temel çerçeveyle karşı karşıya olan bir web'iniz olduğunu varsayarsak, yine bir hamle yapmalısınız. Bu zayıflıktan yararlanılırsa, kuruluşunuz saldırıya uğrayabilir ve müşteri verilerini sızdırdığınız için haberlere çıkabilirsiniz.
Kuruluşlar CVSS'yi nasıl benimser ve kullanır?
Temel görünüp görünmediğine bakılmaksızın, BASE olarak CVSS taban puanlarını kullanın. Zayıflık hakkında genel veriler verirken, gizli kumarı tamamen elde etmek için doğal ölçümleri güncel tutmak esastır.
Wallarm'ın tehlike bilgisi araçlarını kullanarak, açık tasvirler, kullanılabilirlik puanları ve mevcut macera POC'leri ile zayıf yönlerinizi geliştirmek için CVE'leri de kullanabilirsiniz. Bulduğunuz zayıflıklar için CVSS puanlarını yeniledikten sonra, avantaj elde ettiğinizde bunları genel olarak riskliden en az tehlikeliye doğru isteyin.
Kuruluşunuzun tutarlılık incelemelerine, örneğin PCI'ya bağlı olduğunu varsayarsak, geçmek için karşılanması gereken ekstra güvenlik kuralları olabilir. Güvenlik kontrollerini bir araya getirmek ve zayıflıkların giderilmesine odaklanmak için, kurul veya tehlike denetleme ekibi, donanımlı bir zayıflık tehlikesini bu çeşitli bileşenleri dikkate alacaktır.
0 Comments