• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Акции
  • Контакты
  • Блог

    Группы показателей Базовая метрика ч.2 «Руководство по общему стандарту оценки уязвимостей» CVSS v2

    Оглавление

    Показатели базовой группы отражают характеристики уязвимости, которые являются постоянными и не зависят ни от времени, ни от пользовательской инфраструктуры. Вектор доступа, сложность доступа, необходимость аутентификации характеризуют то, как получить доступ к уязвимости и необходимо ли соблюдение дополнительных условий, чтобы ее поэксплуатировать. Три показателя воздействия показывают, как уязвимость, будучи проэксплуатированной, прямо повлияет на IT-систему, где мерой воздействия служит снижение конфиденциальности, целостности и доступности. Например, уязвимость вызовет частичную потерю целостности и доступности, но не затронет конфиденциальность.

    показатели базовой метрики

    1.1 Вектор доступа

    Этот показатель отражает то, как уязвимость эксплуатируется. Возможные значения этого показателя перечислены в таблице №1. Чем дальше, может находиться злоумышленник, тем больше значение показателя.

    Таблица №1

    Возможные значения показателя «Вектор доступа»

    Значение показателя

    Описание

    Локальный (L)

    Уязвимость, которая эксплуатируется только в случае локального доступа, требует от злоумышленника физического доступа или локального аккаунта (шелла).

    Сопряженная сеть (A)

    Такая уязвимость требует от злоумышленника иметь доступ либо к широковещательному домену [1] либо к домену коллизий [2] .

    Сеть (N)

    Такой тип уязвимости означает, что она может быть проэксплуатирована удаленно и не требует локального или физического доступа.



    [1]логический участок компьютерной сети, в котором каждое устройство может передавать данные любому другому устройству непосредственно, без использования маршрутизатора

    [2]это часть сети ethernet, все узлы которой конкурируют за общую разделяемую среду передачи и, следовательно, каждый узел которой может создать коллизию с любым другим узлом этой части сети.

    1.2 Сложность доступа

    Эта метрика измеряет сложность атаки, необходимой для эксплуатации уязвимости. Например, представьте переполнение буфера в Интернет-службе: после того, как цель определена, злоумышленник может запустить эксплойт в любой момент.

    Другие уязвимости, наоборот, могут потребовать дополнительных шагов для того, что быть использованы. Например, уязвимость в постовом клиенте эксплуатируется только после того, как пользователь скачает и откроет зараженный документ. Значения этого показателя  приведены в таблице №2. Тем ниже уровень сложности, тем выше показатель уязвимости.

    Таблица №2

    Возможные значения показателя «Сложность доступа»

    Значение показателя

    Описание

    Высокий (H)

    Необходимо выполнить особое условия для эксплуатации. Например:

    • Часто злоумышленнику необходимо иметь повышенные привилегии или заспуфить сторонние компьютеры.
    • Необходимо применить социальную инженерию.
    • На практике очень редко встречается уязвимая конфигурация.
    • В случае «условия гонки» очень маленькое окно.

    Средний (M)

    Условия доступа не совсем обычные. Например:

    • Можно реализовать атаку только с определенной машины или аккаунта.
    • Необходимо собрать определенную информацию, прежде чем начать атаку.
    • Уязвимая конфигурация не стандартна.
    • Атака требует небольшой социальной инженерии.

    Низкая (L)

    Не существует особых условий или усложняющих обстоятельств. Например:

    • Уязвимый продукт имеет доступ к большому количеству пользователей, часто анонимных и не доверенных.
    • Уязвимая конфигурация стандартная или очень распространенная.
    • Атака может быть применена без специальных программных средств или требует небольших знаний.

    1.3 Аутентификация

    Этот показатель измеряет, сколько раз злоумышленник должен аутентифицироваться у цели для того, чтобы проэксплуатировать уязвимость. Показатель не учитывает сложности этого процесса, а лишь характеризует саму необходимость аутентификации для использования уязвимости. Чем меньше раз необходимо пройти аутентификацию,  тем показатель выше. Возможные значения показателя приведены в таблице №3.

    Важно показать, чем показатель аутентификации отличается от показателя «вектор доступа». Аутентификация происходит когда доступ к ресурсу уже получен. Необходимо учесть, что для локально эксплуатируемых уязвимостей показатель может принимать только значения «одиночная» или «многоразовая», если дополнительная аутентификация требуется помимо доступа к аккаунту. Примером локально эксплуатируемой уязвимости, которая требует аутентификации является та, которая влияет на базу данных, модуль которой висит на порте. Если злоумышленник должен аутентифицироваться как нормальный пользователь базы данных, то показатель принимает значение «одиночная».

    Таблица №3

    Возможные значения показателя «Аутентификация»

    Значение показателя

    Описание

    Многоразовая

    Эксплуатация уязвимости требует, чтобы пользователь провел аутентификацию два раза, даже если необходимо два раза ввести одни и те же данные. Например, пользователю надо залогиниться, чтобы войти в ОС, а потом залогиниться в конкретное приложение.

    Одноразовая

    Необходимо пройти одну аутентификацию.

    Отсутствует

    Не требуется аутентификация для эксплуатации уязвимостей.

    Показатель должен отражать количество аутентификаций, которые злоумышленник должен пройти перед эксплуатацией уязвимости. Например, если удаленный почтовый сервер уязвим к команде, которая может быть отправлена до того, как злоумышленник авторизуется, то в показатель должен принять значение  “отсутствует”.

    1.4 Воздействие на конфиденциальность

    Этот показатель измеряет воздействие на конфиденциальности в результате успешной эксплуатации уязвимости. Конфиденциальность относиться к ограничению доступа к информации и отвечает за ее предоставление только авторизованным пользователям. Возможные значения показателя приведены в таблице №4. Чем выше воздействие на конфиденциальность, тем выше значение уязвимости.

    Таблица №4

    Возможные значения показателя «Воздействие на конфиденциальность»

    Значение показателя

    Описание

    Отсутствует (N)

    Конфиденциальности не нанесено никакого урона.

    Частичный (P)

    Значительное раскрытие информации. Доступ на чтение к некоторым системным файлам возможен, размеры раскрытия ограничены.

    Полный (C)

    Полное раскрытие информации при котором все системные файлы известны злоумышленнику.

    1.5 Воздействие на целостность

    Этот показатель измеряет воздействие на целостность информации, нанесенный при успешной эксплуатации уязвимости. Целостность означает, что данные полны, условие того, что данные не были изменены при выполнении любой операции над ними, будь то передача, хранение или представление. Возможные значения этого показателя приведены в таблице №5.

    Чем выше урон целостности, тем выше этот показатель.

    Таблица №5

    Возможные значения показателя «Воздействие на целостность»

    Значение показателя

    Описание

    Отсутствует (N)

    Целостности не нанесено никакого урона.

    Частичный (P)

    Возможно изменение некоторых системных или информативных файлов, но атакующий не имеет возможности выбирать, что изменять, или часть файлов, которые злоумышленник может менять – небольшая.

    Полный (C)

    Полное компрометация целостности системы. Полная потеря систем защиты, атакующий может изменить любой файл.

    1.6 Воздействие на доступность

    Этот показатель измеряет воздействие на доступности информации при успешной эксплуатации уязвимости. Атака может израсходовать возможности канала сети, мощности процессора или дисковое пространство. Возможные значения для этой метрики приведены в таблице №6. Чем выше урон доступности, тем выше значение этого показателя.

    Таблица №6

    Возможные значения показателя «Воздействие на доступность»

    Значение показателя

    Описание

    Отсутствует (N)

    Целостности не нанесено никакого урона.

    Частичный (P)

    Возможно изменение некоторых системных или информативных файлов, но атакующий не имеет возможности выбирать, что изменять, или часть файлов, которые злоумышленник может менять – небольшая.

    Полный (C)

    Полное компрометация целостности системы. Полная потеря систем защиты, атакующий может изменить любой файл.