#1 2022.11.17 12:37:53
0
Требования к безопасности (требования к конфиденциальности/доступности/целостности) - метрики позволяют "настраивать" оценку the Common Vulnerability Scoring System (CVSS) в зависимости от важности ИТ-ресурса, который затрагивает уязвимость, с точки зрения нарушения его конфиденциальности, доступности или целостности.
То есть, если ИТ-объект поддерживает бизнес-функцию, для которой доступность является наиболее важной, аналитик может присвоить большую ценность доступности по отношению к конфиденциальности и целостности. Каждое требование безопасности имеет три возможных значения: низкий, средний, высокий. Контекстные метрики требования к безопасности влияют на базовые метрики влияния (влияние на конфиденциальность/целостность/доступность).
Например, значение метрики "влияние на конфиденциальность" увеличивается, если значение "требование к конфиденциальности" высокое. Соответственно, значение метрики "влияние на конфиденциальность" уменьшается, если значение метрики "требование к конфиденциальности" низкое. По сути аналитик может создавать измененные базовые метрики в зависимости от конкретного контекста.
Например, конфигурация по умолчанию для уязвимого компонента может заключаться в том, чтобы запустить службу прослушивания с правами администратора. При этом в базовых метриках влияние на доступность, конфиденциальность и целостность обозначено как "высокое".
Тем не менее, в среде аналитика такой же Интернет-сервис может работать со сниженными привилегиями. Тогда в этом конкретном случае модифицированные метрики влияния на конфиденциальность, доступность и целостность примут значение "низкое".
Вектор - это текстовая строка, отражающая значения каждой метрики для уязвимости. Векторная строка начинается с метки "CVSS:" и числового представления текущей версии "3.1". Метрическая информация следует в виде набора показателей, каждой метрике предшествует косая черта "/", действующая как разделитель. Каждая метрика - это метрическое имя в сокращенной форме, двоеточие ":" и связанное с ним значение показателя в сокращенной форме. Все базовые метрики обязательно включаются в вектор.
Вектор уязвимости с базовыми метрическими значениями "Attack Vector: Network, Attack Complexity: Low, Privileges Required: High, User Interaction: None, Scope: Unchanged, Confidentiality: Low, Integrity: Low, Availability: None" и отсутствующими временными и контекстными метриками:
Вектор публикуется всегда вместе с оценкой, чтобы показать, как она была получена. При необходимости оценку можно скорректировать с помощью временных и контекстных меток, но это не обязательно.
Обычно базовые и временные метрики определяются аналитиками бюллетеней уязвимостей, производителями программного обеспечения.
Контекстные, так как они зависят от конкретного объекта защиты, - пользователями (людьми, имеющими представление о конкретном объекте защиты).
После создания вектора итоговая оценка уязвимости складывается из оценок каждой метрики. Соответствие значений метрик и их оценок можно посмотреть в таблице по ссылке.
То есть, если ИТ-объект поддерживает бизнес-функцию, для которой доступность является наиболее важной, аналитик может присвоить большую ценность доступности по отношению к конфиденциальности и целостности. Каждое требование безопасности имеет три возможных значения: низкий, средний, высокий. Контекстные метрики требования к безопасности влияют на базовые метрики влияния (влияние на конфиденциальность/целостность/доступность).
Например, значение метрики "влияние на конфиденциальность" увеличивается, если значение "требование к конфиденциальности" высокое. Соответственно, значение метрики "влияние на конфиденциальность" уменьшается, если значение метрики "требование к конфиденциальности" низкое. По сути аналитик может создавать измененные базовые метрики в зависимости от конкретного контекста.
Например, конфигурация по умолчанию для уязвимого компонента может заключаться в том, чтобы запустить службу прослушивания с правами администратора. При этом в базовых метриках влияние на доступность, конфиденциальность и целостность обозначено как "высокое".
Тем не менее, в среде аналитика такой же Интернет-сервис может работать со сниженными привилегиями. Тогда в этом конкретном случае модифицированные метрики влияния на конфиденциальность, доступность и целостность примут значение "низкое".
Вектор - это текстовая строка, отражающая значения каждой метрики для уязвимости. Векторная строка начинается с метки "CVSS:" и числового представления текущей версии "3.1". Метрическая информация следует в виде набора показателей, каждой метрике предшествует косая черта "/", действующая как разделитель. Каждая метрика - это метрическое имя в сокращенной форме, двоеточие ":" и связанное с ним значение показателя в сокращенной форме. Все базовые метрики обязательно включаются в вектор.
Вектор уязвимости с базовыми метрическими значениями "Attack Vector: Network, Attack Complexity: Low, Privileges Required: High, User Interaction: None, Scope: Unchanged, Confidentiality: Low, Integrity: Low, Availability: None" и отсутствующими временными и контекстными метриками:
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:NВектор публикуется всегда вместе с оценкой, чтобы показать, как она была получена. При необходимости оценку можно скорректировать с помощью временных и контекстных меток, но это не обязательно.
Обычно базовые и временные метрики определяются аналитиками бюллетеней уязвимостей, производителями программного обеспечения.
Контекстные, так как они зависят от конкретного объекта защиты, - пользователями (людьми, имеющими представление о конкретном объекте защиты).
После создания вектора итоговая оценка уязвимости складывается из оценок каждой метрики. Соответствие значений метрик и их оценок можно посмотреть в таблице по ссылке.
Отредактировано: Panda 2022.11.17 12:43:18