揭开CVSS的神秘面纱
一、CVSS到底是什么?
虽然软件漏洞的潜在影响不应该被低估,但是对每个漏洞给予同等重要性是不科学的,同时也是不合理的。因此,我们需要一个专业评分标准对每个漏洞的严重程度进行优先级排序,以便企业和安全团队可以从容的理解和修复每个已知漏洞。于是CVSS应运而生。
CVSS(The Common Vulnerability Scoring System通用漏洞评分系统)是一个行业标准,由FIRST.org编写并更新。FIRST是一个总部设在美国的非营利组织,在全球拥有超过500个成员组织,它的权威性因此得到了有效的保证。
CVSS提供了信息安全漏洞严重程度的数值,0-10代表不严重到致命威胁。CVSS评分通常被用作漏洞管理程序的一部分,以提供漏洞之间的比较点,以便优先修复严重程度高的漏洞。
二、评分标准
CVSS现在的版本是V3.1,其更新目的是解决V2中的一些已知缺点。
CVSS评分由三组指标组成:基础、时间、环境。每组指标都有一些基础评分因素。
1.CVSS Base Metrics
基础因素代表了漏洞本身的特征。这些特征不会随着时间的推移而改变,也不依赖实际使用的可利用性或企业设置的补偿手段。公开的严重程度排名,例如NIST的NVD中列出的那些,仅指CVSS基础评分。
基础CVSS分数的简单可用性为修复优先级排序提供了一个简便的起点,但它的用途有限,因为它没有考虑到实际应用中的使用率、补丁的可用性、或其他环境因素。
CVSS基础因素由三个子评分元素组成:可利用性(Exploitability)、范围(Scope)和影响(Impact)
①可利用性:可利用性由漏洞组件的特征组成,它又由四个子元素构成。
A.攻击向量:这个分数根据利用漏洞所需的访问级别而变化。对于可以远程执行的攻击,它的得分要高于需要实体存在的攻击。
B.攻击复杂度:这个得分随攻击者控制范围之外的因素而变化。对于需要攻击者进行额外工作的漏洞攻击(例如盗取共享密钥或中间人攻击),它的得分要高于不需要这种额外工作的攻击。
C.特权许可:这个分数根据攻击者进行攻击所需的特权而变化。需要管理特权才能利用的漏洞比不需要身份验证或攻击者升级特权的漏洞得分更高。
D.用户交互:这个分数随攻击者是否必须招募一个参与者来完成他们的任务而变化。如果攻击者能够在没有实际用户参与的情况下自主操作,则得分会更高。
②范围:与一个组件中的漏洞是否可以感染到其他组件有关。如果存在感染可能性,则该得分会较高。
③影响:侧重于攻击者可以通过利用相关的漏洞实现的实际结果,它又由三个子因素构成。
A.机密性:该得分随攻击者获得访问的数据量而变化。如果受影响系统上的所有数据都可以被攻击者访问,那么得分会更高。如果没有数据可以访问,得分会较低。
B.完整性:该分数随攻击者改变受影响系统上数据的能力而变化。如果大范围的修改数据,则该分数将会很高。
C.可用性:该分数随着被利用系统可用性的丢失而变化。如果由于变化,系统不再支持对授权用户可访问或可使用,那么该得分将会较高。
2.CVSS Temporal Metrics
CVSS时间因素是随时间变化的因素,该因素可以衡量漏洞的当前可利用性,以及修复补丁的可用性。时间因素又包含三个子因素。
①利用代码成熟度:在存在利用漏洞的方法之前,它是相对良性的。与大多数软件一样,可用于进行攻击的代码会渐渐成熟,随着时间的推移变得更加稳定和被广泛可用。当这种情况发生时,该分数将会增加。
②修复级别:当第一次发现漏洞时,可能没有补丁或其他可用的解决方案。但随着时间的推移,修复措施会变得越来越多也越来越可用,于是该分数也会随之降低。
③报告置信度:置信度测量验证水平,表明一个漏洞时真实的和可利用的。
3.CVSS Environmental Metrics
CVSS环境因素允许企业根据安全需求和基础因素的修改来更改CVSS分数。该因素包含两个子因素。
①安全要求:描述了有关资产的关键性。任务关键数据和资产的得分高于不太重要的数据和资产。
②修改的基本标准:企业可以根据已经实施的修复措施选择修改相应的CVSS基础分数。
三、定性评级
CVSS分数为0-10分,对于最新的标准 CVSS v3.1,它的评级标准如下:
四、CVSS和CVE有什么不同?
当涉及到安全漏洞时,有太多的简写需要识别:CVE、CVSS、NVD、NIST。其中CVE代表Common Vulnerability Enumeration(通用漏洞枚举),它是一个所有公开漏洞的列表,由Mitre公司建立。NIST是美国的“工信部”,它建立了NVD(美国国家漏洞数据库),其中的数据直接应用了Mitre CVE列表中的数据。
在NVD中,安全人员可以看到分配给每个CVE的CVSS分数。
揭开CVSS的神秘面纱相关推荐
- 了解黑客的关键工具---揭开Shellcode的神秘面纱
2019独角兽企业重金招聘Python工程师标准>>> ref: http://zhaisj.blog.51cto.com/219066/61428/ 了解黑客的关键工具---揭开 ...
- [转]揭开正则表达式的神秘面纱
揭开正则表达式的神秘面纱 关闭高亮 [原创文章,转载请保留或注明出处:http://www.regexlab.com/zh/regref.htm] 引言 正则表达式(regular expressio ...
- 揭开PC-Lint9的神秘面纱
前言 今天,又定位了一个令人懊恼的C++内存使用异常问题,最终结果,竟然是减少接口类的方法后,为了避免编译错误,顺手添加的强制类型转换导致的. 对于这样的问题,我们碰到很多很多次了.没有这样的问题,我 ...
- 未来已来?揭开量子计算机的神秘面纱
从第一台现代计算机ENIAC的诞生到个人PC时代的降临,从互联网概念的提出到移动互联的疾跑,在这个信息年代里,变革正以前所未有的速度改变着我们熟悉的世界.熟悉的生活. 作为个人,我们早已习惯于智能计算 ...
- ASP.NET 运行时详解 揭开请求过程神秘面纱
对于ASP.NET开发,排在前五的话题离不开请求生命周期.像什么Cache.身份认证.Role管理.Routing映射,微软到底在请求过程中干了哪些隐秘的事,现在是时候揭晓了.抛开乌云见晴天,接下来就 ...
- linux操作系统说课稿,信息技术《揭开LINUX的神秘面纱》教案范文
信息技术<揭开LINUX的神秘面纱>教案范文 教学目标: 1.会启动LINUX系统: 2.会关闭LINUX系统: 3.LINUX基本界面的认识. 教学重点: 1.会启动LINUX系统: 2 ...
- 冰河浅析 - 揭开木马的神秘面纱(下)
冰河浅析 - 揭开木马的神秘面纱(下) 作者:· shotgun·yesky 四.破解篇(魔高一尺.道高一丈) 本文主要是探讨木马的基本原理, 木马的破解并非是 ...
- 揭开木马的神秘面纱 2
揭开木马的神秘面纱zz 2 离冰河二的问世已经快一年了,大家对于木马这种远程控制软件也有了一定的认 识,比如:他会改注册表,他会监听端口等等,和一年前几乎没有人懂得木马是什么东 西相比,这是一个质 ...
- 【翻译】揭开HTML5的神秘面纱
写在前面的话: 这篇文章摘自Mozilla官网,主要针对HTML5和本地应用发表了一些.没有设计到技术,所以基本是逐字翻译,但愿我蹩脚的英语水平能把大师的 Chris Heilmann的思想整理明白. ...
最新文章
- BrupSuite渗透测试笔记(十一)
- 中山大学 计算机院博士录取名学,中山大学2021年博士研究生招生拟录取名单公示,2510人!...
- 使用 TensorFlow 的公司
- Linux文件目录结构2
- 华为鸿蒙系统智能手机_余承东再度确认:鸿蒙系统将适配到华为手机上
- 循环序列模型 —— 1.6 语言模型和序列生成
- python2.7更新_centos系统python2.7更新到3.5
- 疑似一加7 Pro 5G版通过3C认证:配备30W快充头
- 虚拟机下ubuntu10.04挂载NFS
- 【LibreOJ109】【模板】并查集
- mysql索引简单介绍
- bandicam去水印
- 梯度和法向量的统一理解
- 共线条件方程及其应用
- 小米手机混淆升级崩溃记录与解决
- @Primary 和 @Qualifier
- VMware的配置及ubuntu10.04 tftp 与嵌入式开发板的连接设置
- Glyphicons V3 字体图标查询
- 你应该知道的——微信公众号配上机器人回复(微信对话开放平台)
- Kanzi基础---Kanzi基本概念