• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Акции
  • Контакты
  • Блог

    Временная метрика Группы показателей ч.3 «Руководство по общему стандарту оценки уязвимостей» CVSS v2

    Оглавление

    Угроза, представляемая уязвимостью, может меняться со временем.

    Три фактора, которые учитывает Common Vulnerability Scoring System, чтобы это отразить: подтверждение технических деталей уязвимости, статус готовности решения для устранения уязвимости, доступность техники эксплуатирования или рабочего эксплойта. Временная метрика не должна обязательно учитываться, она применяется когда пользователь чувствует, что базовый расчет не устраивает его в конкретной ситуации.

    1. Доступность техники эксплуатирования или рабочего эксплойта

    Этот показатель характеризует текущее состояние доступности техники эксплуатирования или рабочего эксплойта. Доступность в паблике рабочего эксплойта повышает количество потенциальных злоумышленников, добавляя различную школоту, т.о. увеличивая уровень риска, ассоциируемый с уязвимостью.

    Изначально, уязвимость описывается в теории. Затем следует доказательство правильности идеи, некий «пробный код», появляется большое количество дополнительной информации об уязвимости. Затем может появиться готовый модуль для эксплуатации уязвимостей. Например, в виде полезной нагрузки вируса или червя. Возможные значения этого показателя приведены в таблице 7. Чем легче проэксплуатировать уязвимость, тем выше показатель.

    Таблица №7

    Возможные значения показателя «Доступность эксплуатирования»

    Значение показателя

    Описание

    Недоказан (U)

    Эксплойт существует только в теории.

    Доказательство правильности идеи (POC)

    Была проведена демонстрация атаки, или появился код -  доказательство правильности идеи, позволяющий реализовать эксплойт на конкретной машине. Для его применения нужны приличные навыки.

    Функциональная (F)

    Существует готовый эксплойт, работающий в большинстве случаев при наличии уязвимости.

    Высокая (H)

    Создан автономный модуль для экслойта, работающий всегда, подробности широко доступны, либо экслойт не нужен.

    Неопределен(ND)

    Значение метрики не определено и на общий счет не влияет.

    2. Статус готовности решения для устранения уязвимости

    Наличие информации для закрытия уязвимости – важный фактор при ранжировании уязвимостей по приоритету. Типичная уязвимость в течении определенного времени после своего появления не имеет патча, который бы ее устранял. Различные советы и способы могут быть промежуточным решением до того, пока не выйдет официальный патч или обновление. Каждый из этих последовательных шагов снижает значение временной метрики, отражая снижение срочности в устранении уязвимости. Возможные значения этого показателя отражены в таблице №8. Чем ниже уровень решения для устранения уязвимости, тем выше значение показателя.

    Таблица №8

    Возможные значения показателя «Статус готовности решения»

    Значение показателя

    Описание

    Официальный патч (OF)

    Производитель ПО выпустил окончательный официальный патч для закрытия уязвимостей.

    Временное решение (TF)

    Производитель ПО выпустил временный, но официальный патч для закрытия уязвимостей.

    Советы и способы(W)

    Существует неофициальное решение, пользовательский патч.

    Отсутствует (U)

    Не существует решения или им невозможно воспользоваться.

    Не определён (ND)

    Значение метрики не определено и на общий счет не влияет.

    3. Степень достоверности информации об уязвимости

    Этот показатель характеризует процент вероятности существования самой уязвимости и достоверность известных технических деталей. Иногда, о уязвимости известно только то, что она существует. Затем компания-производитель может подтвердить официально существование уязвимости. Чем выше вероятность существования уязвимости, тем выше экстренность ситуации. Этот показатель также учитывает технические детали, доступные возможным злоумышленникам.

    Возможные значения этого показателя приведены в таблице 9.

    Таблица №9

    Возможные значения показателя «Степень достоверности информации»

    Значение показателя

    Описание

    Не подтверждено (UC)

    Существует один неподтвержденный ресурс, или несколько противоречащих ресурсов.

     Не проработано (UR)

    Несколько неофициальных источников, возможны комментарии от независимых исследовательских фирм.

    Подтверждено(C)

    Уязвимость была подтверждена производителем, или существует PoC.

    Не определён (ND)

    Значение метрики не определено и на общий счет не влияет.