Společný systém hodnocení zranitelnosti - Common Vulnerability Scoring System

The Společný systém hodnocení zranitelnosti (CVSS) je zdarma a otevřeno průmyslový standard pro posouzení závažnosti zabezpečení počítačového systému zranitelnosti. CVSS se pokouší přiřadit skóre závažnosti zranitelným místům, což umožňuje respondentům stanovit priority odpovědí a zdrojů podle ohrožení. Skóre se počítá na základě vzorce, který závisí na několika metriky že přibližná snadnost využití a dopad využití. Skóre se pohybuje od 0 do 10, přičemž 10 je nejtěžších. Zatímco mnozí používají k určení závažnosti pouze skóre CVSS Base, existují také časové a environmentální skóre, aby se zohlednila dostupnost zmírnění a rozsah rozšířených zranitelných systémů v organizaci.

Aktuální verze CVSS (CVSSv3.1) byla vydána v červnu 2019.^[1]

Dějiny

Výzkum Poradní výbor pro národní infrastrukturu (NIAC) v letech 2003/2004 vedlo ke spuštění CVSS verze 1 (CVSSv1) v únoru 2005 s cílem být „navrženo tak, aby poskytovalo otevřené a univerzálně standardní hodnocení závažnosti softwarových zranitelností“. Tento původní návrh nebyl předmětem vzájemného hodnocení ani přezkoumání jinými organizacemi. V dubnu 2005 společnost NIAC vybrala fórum týmů pro reakci na incidenty a bezpečnostní týmy (ZA PRVÉ ) stát se správcem CVSS pro další vývoj.^[2]

Zpětná vazba od dodavatelů využívajících při výrobě CVSSv1 naznačuje, že došlo k „významným problémům s počátečním návrhem CVSS“. Práce na CVSS verze 2 (CVSSv2) začaly v dubnu 2005 a konečná specifikace byla zahájena v červnu 2007.^[3]

Další zpětná vazba vyústila v zahájení prací na CVSS verze 3^[4] v roce 2012, končící vydáním CVSSv3.0 v červnu 2015.^[5]

Terminologie

Hodnocení CVSS měří tři oblasti zájmu:

Základní metriky pro vlastnosti vlastní zranitelnosti
Dočasné metriky pro charakteristiky, které se vyvíjejí po celou dobu zranitelnosti
Environmentální metriky zranitelností, které závisí na konkrétní implementaci nebo prostředí

Pro každou z těchto metrických skupin se vygeneruje číselné skóre. Vektorový řetězec (nebo jednoduše „vektor“ v CVSSv2) představuje hodnoty všech metrik jako blok textu.

Verze 2

Kompletní dokumentace pro CVSSv2 je k dispozici na FIRST.^[6] Souhrn je uveden níže.

Základní metriky

Přístupový vektor

Přístupový vektor (AV) ukazuje, jak lze chybu zabezpečení zneužít.

Hodnota	Popis	Skóre
Místní (L)	Útočník musí mít buď fyzický přístup k ohroženému systému (např. útoky firewire ) nebo místní účet (např eskalace privilegií Záchvat).	0.395
Sousední síť (A)	Útočník musí mít přístup k vysílací nebo kolizní doméně zranitelného systému (např. ARP spoofing, Bluetooth útoky).	0.646
Síť (N)	Zranitelné rozhraní pracuje na vrstvě 3 nebo vyšší v síťovém zásobníku OSI. Tyto typy chyb zabezpečení jsou často popisovány jako vzdáleně zneužitelné (např. Přetečení vzdálené vyrovnávací paměti v síťové službě)	1.0

Složitost přístupu

Metrika složitosti přístupu (AC) popisuje, jak snadné nebo obtížné je zneužít zjištěnou chybu zabezpečení.

Hodnota	Popis	Skóre
Vysoká (H)	Existují speciální podmínky, například a stav závodu s úzkým oknem nebo požadavek na sociální inženýrství metody, které by si snadno všimli znalí lidé.	0.35
Střední (M)	Existuje několik dalších požadavků na útok, například omezení původu útoku nebo požadavek, aby byl zranitelný systém spuštěn s neobvyklou, nestandardní konfigurací.	0.61
Nízká (L)	Neexistují žádné zvláštní podmínky pro zneužití této chyby zabezpečení, například když je systém k dispozici velkému počtu uživatelů nebo je konfigurace zranitelnosti všudypřítomná.	0.71

Ověření

Metrika autentizace (Au) popisuje, kolikrát se musí útočník autentizovat u cíle, aby jej mohl zneužít. Nezahrnuje (například) autentizaci do sítě za účelem získání přístupu. U místně zneužitelných zranitelností by měla být tato hodnota nastavena na Single nebo Multiple, pokud je po počátečním přístupu vyžadováno další ověřování.

Hodnota	Popis	Skóre
Vícenásobné (M)	Využití této chyby zabezpečení vyžaduje, aby se útočník autentizoval dvakrát nebo vícekrát, i když jsou pokaždé použita stejná pověření.	0.45
Single (S)	Aby mohl útočník tuto chybu zabezpečení zneužít, musí se jednou ověřit.	0.56
Žádný (N)	Útočník se nemusí autentizovat.	0.704

Dopadové metriky

Důvěrnost

Metrika důvěrnosti (C) popisuje dopad na důvěrnost údajů zpracovávaných systémem.

Hodnota	Popis	Skóre
Žádné (N)	Neexistuje žádný dopad na důvěrnost systému.	0.0
Částečné (P)	Informace jsou značně zveřejňovány, ale rozsah ztráty je omezen tak, že nejsou k dispozici všechna data.	0.275
Kompletní (C)	K dispozici je úplné zveřejnění informací, které poskytuje přístup k jakýmkoli / všem datům v systému. Alternativně se získá přístup pouze k některým omezeným informacím, ale zveřejněné informace mají přímý a vážný dopad.	0.660

Integrita

Metrika Integrita (I) popisuje dopad na integritu využívaného systému.

Hodnota	Popis	Skóre
Žádný (N)	Neexistuje žádný dopad na integritu systému.	0.0
Částečné (P)	Úprava některých datových nebo systémových souborů je možná, ale rozsah úpravy je omezený.	0.275
Kompletní (C)	Dochází k úplné ztrátě integrity; útočník může upravit jakékoli soubory nebo informace v cílovém systému.	0.660

Dostupnost

Metrika dostupnosti (A) popisuje dopad na dostupnost cílového systému. Na dostupnost systému mají vliv útoky, které spotřebovávají šířku pásma sítě, cykly procesorů, paměť nebo jakékoli jiné prostředky.

Hodnota	Popis	Skóre
Žádný (N)	Na dostupnost systému to nemá žádný vliv.	0.0
Částečné (P)	Je zde snížený výkon nebo ztráta některých funkcí.	0.275
Kompletní (C)	Došlo k úplné ztrátě dostupnosti napadeného zdroje.	0.660

Výpočty

Těchto šest metrik se používá k výpočtu dílčích skóre zranitelnosti využitelnosti a dopadu. Tato dílčí skóre se používají k výpočtu celkového základního skóre.

${displaystyle {extsf {Exploitability}} = 20 obrázků {extsf {AccessVector}} obrázků {extsf {AttackComplexity}} obrázků {extsf {ověřování}}}$

${displaystyle {extsf {Impact}} = 10,41 imes (1- (1- {extsf {ConfImpact}}) imes (1- {extsf {IntegImpact}}) imes (1- {extsf {AvailImpact}}))}$

${displaystyle f ({extsf {Impact}}) = {egin {cases} 0, & {ext {if}} {extsf {Impact}} {ext {= 0}} 1.176, & {ext {jinak}} konec {případy}}}$

${displaystyle {extsf {BaseScore}} = {extsf {roundTo1Decimal}} ((((0,6 imes {extsf {Impact}}) + (0,4 imes {extsf {Exploitability}}) - 1,5) imes f ({extsf {Impact}} ))}$

Metriky jsou zřetězeny, aby se vytvořil vektor CVSS pro tuto chybu zabezpečení.

Příklad

Chyba zabezpečení týkající se přetečení vyrovnávací paměti má vliv na software webového serveru, který umožňuje vzdálenému uživateli získat částečnou kontrolu nad systémem, včetně možnosti způsobit jeho vypnutí:

Metrický	Hodnota	Popis
Přístupový vektor	Síť	K této chybě zabezpečení lze přistupovat z jakékoli sítě, která má přístup k cílovému systému - obvykle z celého internetu
Složitost přístupu	Nízký	Na přístup nejsou kladeny žádné zvláštní požadavky
Ověření	Žádný	Neexistuje žádný požadavek na ověření, aby bylo možné tuto chybu zabezpečení zneužít
Důvěrnost	Částečný	Útočník může číst některé soubory a data v systému
Integrita	Částečný	Útočník může změnit některé soubory a data v systému
Dostupnost	Kompletní	Útočník může způsobit, že systém a webová služba budou nedostupné / nebudou reagovat vypnutím systému

To by poskytlo dílčí skóre využitelnosti 10 a dílčí skóre dopadu 8,5, což by poskytlo celkové základní skóre 9,0. Vektorem základního skóre by v tomto případě bylo AV: N / AC: L / Au: N / C: P / I: P / A: C. Skóre a vektor jsou obvykle prezentovány společně, aby příjemce mohl plně porozumět povaze zranitelnosti a v případě potřeby vypočítat vlastní environmentální skóre.

Časové metriky

Hodnota časových metrik se mění po celou dobu zranitelnosti, jak jsou vyvíjeny, zveřejňovány a automatizovány exploity a jak jsou k dispozici zmírnění a opravy.

Využitelnost

Metrika využitelnosti (E) popisuje aktuální stav technik využití nebo automatizovaného kódu využití.

Hodnota	Popis	Skóre
Neprokázané (U)	Není k dispozici žádný zneužitelný kód nebo je zneužití teoretické	0.85
Důkaz koncepce (P)	K dispozici jsou zneužitelný kód nebo demonstrační útoky, ale pro široké použití to není praktické. Nefunguje proti všem případům chyby zabezpečení.	0.9
Funkční (F)	K dispozici je funkční kód zneužití, který funguje ve většině situací, kdy je chyba zabezpečení přítomna.	0.95
Vysoká (H)	Tuto chybu zabezpečení lze zneužít automatizovaným kódem, včetně mobilního kódu (například červ nebo virus).	1.0
Není definováno (ND)	Toto je signál k ignorování tohoto skóre.	1.0

Úroveň sanace

Úroveň nápravy (RL) zranitelnosti umožňuje, aby se časové skóre zranitelnosti snížilo, jakmile budou k dispozici zmírnění a oficiální opravy.

Hodnota	Popis	Skóre
Oficiální oprava (O)	K dispozici je kompletní řešení dodavatele - buď oprava, nebo upgrade.	0.87
Dočasná oprava (T)	U dodavatele je k dispozici oficiální, ale dočasná oprava / zmírnění.	0.90
Řešení (W)	K dispozici je neoficiální řešení jiného dodavatele nebo jeho zmírnění - možná vyvinuté nebo navržené uživateli ovlivněného produktu nebo jinou třetí stranou.	0.95
Nedostupné (U)	Není k dispozici žádné řešení nebo je nemožné použít navrhované řešení. Toto je obvyklý počáteční stav úrovně nápravy, když je zjištěna chyba zabezpečení.	1.0
Není definováno (ND)	Toto je signál k ignorování tohoto skóre.	1.0

Nahlásit důvěru

Důvěra zprávy o zranitelnosti měří míru důvěry v existenci zranitelnosti a také důvěryhodnost technických podrobností zranitelnosti.

Hodnota	Popis	Skóre
Nepotvrzené (UC)	Jeden nepotvrzený zdroj nebo více konfliktních zdrojů. Říká se zranitelnost.	0.9
Nepotvrzené (UR)	Několik zdrojů, které se obecně shodují - může existovat úroveň přetrvávající nejistoty ohledně zranitelnosti	0.95
Potvrzeno (C)	Potvrzeno a potvrzeno prodejcem nebo výrobcem dotčeného produktu.	1.0
Není definováno (ND)	Toto je signál k ignorování tohoto skóre.	1.0

Výpočty

Tyto tři metriky se používají ve spojení se základním skóre, které již bylo vypočítáno k vytvoření dočasného skóre zranitelnosti s přidruženým vektorem.

Vzorec použitý k výpočtu časového skóre je:

${displaystyle {extsf {TemporalScore}} = {extsf {roundTo1Decimal}} ({extsf {BaseScore}} imes {extsf {Exploitability}} imes {extsf {RemediationLevel}} imes {extsf {ReportConfidence}})}$

Příklad

Pro pokračování výše uvedeného příkladu, pokud by byl prodejce poprvé informován o zranitelnosti zveřejněním kódu proof-of-concept do seznamu adresátů, bylo by počáteční časové skóre vypočítáno pomocí níže uvedených hodnot:

Metrický	Hodnota	Popis
Využitelnost	Ověření konceptu	K prokázání konceptu je k dispozici neautomatizovaný kód, který zobrazuje základní funkce zneužití.
Úroveň sanace	Nedostupné	Prodejce dosud neměl příležitost poskytnout zmírnění nebo opravu.
Nahlásit důvěru	Nepotvrzený	Byla zveřejněna jediná zpráva o zranitelnosti

To by poskytlo časové skóre 7,3 s časovým vektorem E: P / RL: U / RC: UC (nebo úplným vektorem AV: N / AC: L / Au: N / C: P / I: P / A: C / E: P / RL: U / RC: UC).

Pokud prodejce poté chybu zabezpečení potvrdí, skóre se zvýší na 8,1 s časovým vektorem E: P / RL: U / RC: C

Dočasná oprava od dodavatele by snížila skóre zpět na 7,3 (E: P / RL: T / RC: C), zatímco oficiální oprava by ji snížila dále na 7,0 (E: P / RL: O / RC: C) . Jelikož nelze mít jistotu, že každý ovlivněný systém byl opraven nebo opraven, nemůže se časové skóre snížit pod určitou úroveň na základě akcí dodavatele a může se zvýšit, pokud dojde k vývoji automatického zneužití této chyby zabezpečení.

Environmentální metriky

Metriky prostředí používají základní a aktuální časové skóre k posouzení závažnosti chyby zabezpečení v kontextu způsobu, jakým je zranitelný produkt nebo software nasazen. Toto opatření se vypočítává subjektivně, obvykle postiženými stranami.

Potenciál poškození kolaterálem

Metrika Potenciál kolaterálního poškození (CDP) měří potenciální ztrátu nebo dopad na fyzická aktiva, jako je vybavení (a životy), nebo finanční dopad na postiženou organizaci, pokud dojde k zneužití zranitelnosti.

Hodnota	Popis	Skóre
Žádný (N)	Žádný potenciál pro ztrátu majetku, výnosů nebo produktivity	0
Nízká (L)	Mírné poškození majetku nebo menší ztráta výnosů nebo produktivity	0.1
Nízká až střední (LM)	Střední poškození nebo ztráta	0.3
Středně vysoká (MH)	Významné poškození nebo ztráta	0.4
Vysoká (H)	Katastrofické poškození nebo ztráta	0.5
Není definováno (ND)	Toto je signál k ignorování tohoto skóre.	0

Cílová distribuce

Metrika cílové distribuce (TD) měří podíl zranitelných systémů v prostředí.

Hodnota	Popis	Skóre
Žádný (N)	Neexistují žádné cílové systémy nebo existují pouze v laboratorních podmínkách	0
Nízká (L)	1–25% rizikových systémů	0.25
Střední (M)	26–75% ohrožených systémů	0.75
Vysoká (H)	76–100% rizikových systémů	1.0
Není definováno (ND)	Toto je signál k ignorování tohoto skóre.	1.0

Modifikátor Impact Subscore

Tři další metriky hodnotí specifické bezpečnostní požadavky na důvěrnost (CR), integritu (IR) a dostupnost (AR), což umožňuje jemné doladění skóre prostředí podle prostředí uživatelů.

Hodnota	Popis	Skóre
Nízká (L)	Ztráta (důvěrnost / integrita / dostupnost) bude mít na organizaci pravděpodobně jen omezený účinek.	0.5
Střední (M)	Ztráta (důvěrnost / integrita / dostupnost) pravděpodobně bude mít vážný dopad na organizaci.	1.0
Vysoká (H)	Ztráta (důvěrnost / integrita / dostupnost) bude mít pravděpodobně katastrofický dopad na organizaci.	1.51
Není definováno (ND)	Toto je signál k ignorování tohoto skóre.	1.0

Výpočty

Těchto pět environmentálních metrik se používá ve spojení s dříve posuzovanými základními a časovými metrikami pro výpočet environmentálního skóre a pro vytvoření souvisejícího environmentálního vektoru.

${displaystyle {extsf {AdjustedImpact}} = min (10,10,41 imes (1- (1- {extsf {ConfImpact}} imes {extsf {ConfReq}}) imes (1- {extsf {IntegImpact}} imes {extsf {IntegReq }}) imes (1- {extsf {AvailImpact}} imes {extsf {AvailReq}}))}$

${displaystyle {extsf {AdjustedTemporal}} = {extsf {TemporalScore}} {ext {přepočítán pomocí}} {extsf {BaseScore}} {ext {s}} {extsf {Impact}} {ext {podrovnice nahrazena }} {extsf {AdjustedImpact}} {ext {rovnice}}}$

${displaystyle {extsf {EnvironmentalScore}} = {extsf {roundTo1Decimal}} (({extsf {AdjustedTemporal}} + (10- {extsf {AdjustedTemporal}}) imes {extsf {CollateralDamagePotential}}) je {extsf {TargetDistribution}}) }$

Příklad

Pokud by výše uvedený zranitelný webový server používala banka k poskytování online bankovních služeb a od dodavatele by byla k dispozici dočasná oprava, pak by bylo možné environmentální skóre vyhodnotit jako:

Metrický	Hodnota	Popis
Potenciál poškození kolaterálem	Středně vysoký	Tato hodnota by závisela na tom, k jakým informacím má útočník přístup, pokud je zneužit zranitelný systém. V tomto případě předpokládám, že jsou k dispozici některé osobní bankovní informace, a proto má banka významný dopad na reputaci.
Cílová distribuce	Vysoký	Všechny webové servery banky používají zranitelný software.
Požadavek na zachování důvěrnosti	Vysoký	Zákazníci očekávají, že jejich bankovní informace budou důvěrné.
Požadavek na integritu	Vysoký	Finanční a osobní informace by neměly být měnitelné bez povolení.
Požadavek na dostupnost	Nízký	Nedostupnost služeb online bankovnictví bude pro zákazníky pravděpodobně nepříjemná, nikoli však katastrofická.

To by poskytlo environmentální skóre 8,2 a environmentální vektor CDP: MH / TD: H / CR: H / IR: H / AR: L. Toto skóre je v rozmezí 7,0–10,0, a proto představuje kritickou zranitelnost v kontextu podnikání dotčené banky.

Kritika verze 2

Několik prodejců a organizací vyjádřilo nespokojenost s CVSSv2.

Risk Based Security, která spravuje Open Sourced Vulnerability Database, a Open Security Foundation společně zveřejnily veřejný dopis FIRST týkající se nedostatků a selhání CVSSv2.^[7] Autoři citovali nedostatek členitosti v několika metrikách, což má za následek vektory a skóre CVSS, které správně nerozlišují zranitelnosti různých typů a rizikové profily. Rovněž bylo zjištěno, že bodovací systém CVSS vyžaduje příliš mnoho znalostí o přesném dopadu této chyby zabezpečení.

Společnost Oracle představila novou metrickou hodnotu „Partial +“ pro důvěrnost, integritu a dostupnost, aby vyplnila vnímané mezery v popisu mezi Partial a Complete v oficiálních specifikacích CVSS.^[8]

Verze 3

V reakci na některé z těchto kritik byl vývoj CVSS verze 3 zahájen v roce 2012. Konečná specifikace měla název CVSS v3.0 a byla vydána v červnu 2015. Kromě specifikačního dokumentu byla vydána také uživatelská příručka a dokument Příklady.^[9]

Několik metrik bylo změněno, přidáno a odstraněno. Číselné vzorce byly aktualizovány tak, aby zahrnovaly nové metriky při zachování stávajícího rozsahu bodování 0-10. Hodnocení závažnosti textu Žádný (0), Nízký (0,1-3,9), Střední (4,0-6,9), Vysoký (7,0-8,9) a Kritický (9,0-10,0)^[10] byly definovány, podobně jako kategorie NVD definované pro CVSS v2, které nebyly součástí tohoto standardu.^[11]

Změny od verze 2

Základní metriky

Ve vektoru Base byly přidány nové metriky Uživatelská interakce (UI) a Vyžadovaná oprávnění (PR), které pomáhají rozlišovat zranitelná místa vyžadující interakci uživatele nebo oprávnění uživatele nebo správce. Dříve byly tyto koncepty součástí metriky Access Vector v CVSSv2. Vektor Base také viděl zavedení nové metriky Scope (S), která byla navržena tak, aby bylo jasné, které chyby zabezpečení mohou být zneužity a poté použity k útoku na jiné části systému nebo sítě. Tyto nové metriky umožňují vektoru Base jasněji vyjádřit typ hodnocené zranitelnosti.

Byly aktualizovány metriky Důvěrnost, Integrita a Dostupnost (C, I, A), aby obsahovaly skóre skládající se z Žádná, Nízká nebo Vysoká, spíše než Žádná, Částečná, Úplná z CVSSv2. To umožňuje větší flexibilitu při určování dopadu chyby zabezpečení na metriky CIA.

Přístupová složitost byla přejmenována na Attack Complexity (AC), aby bylo jasné, že přístupová oprávnění byla přesunuta do samostatné metriky. Tato metrika nyní popisuje, jak opakovatelné může být zneužití této chyby zabezpečení; AC je vysoké, pokud útočník vyžaduje perfektní načasování nebo jiné okolnosti (jiné než interakce uživatele, což je také samostatná metrika), které nemusí být při dalších pokusech snadno duplikovatelné.

Attack Vector (AV) viděl zahrnutí nové metrické hodnoty fyzické (P), která popisuje chyby zabezpečení, které vyžadují fyzický přístup k zařízení nebo systému.

Časové metriky

Dočasné metriky se v podstatě nezměnily od CVSSv2.

Environmentální metriky

Metriky prostředí CVSSv2 byly zcela odstraněny a nahrazeny v podstatě druhým základním skóre, známým jako modifikovaný vektor. Modifikovaná základna má odrážet rozdíly v organizaci nebo společnosti ve srovnání se světem jako celkem. Byly přidány nové metriky, které zachycují důležitost důvěrnosti, integrity a dostupnosti pro konkrétní prostředí.

Kritika verze 3

V příspěvku na blogu v září 2015 Koordinační centrum CERT diskutovali omezení CVSSv2 a CVSSv3.0 pro použití při hodnocení zranitelnosti v rozvíjejících se technologických systémech, jako je internet věcí.^[12]

Verze 3.1

Drobná aktualizace pro CVSS byla vydána 17. června 2019. Cílem CVSS verze 3.1 bylo objasnit a vylepšit stávající standard CVSS verze 3.0, aniž by byly zavedeny nové metriky nebo hodnoty metrik, což umožňuje beztrestné přijetí nového standardu oběma bodovými hodnoceními poskytovatelé i hodnotící spotřebitelé. Při zlepšování standardu CVSS byla použitelnost prvořadým hlediskem. Několik změn prováděných v CVSS v3.1 má zlepšit jasnost konceptů zavedených v CVSS v3.0, a tím zlepšit celkovou snadnost použití standardu.

Společnost FIRST využila vstupy odborníků z oboru k dalšímu zdokonalování a zdokonalování CVSS, aby byly stále více použitelné pro zranitelná místa, produkty a platformy vyvíjené za posledních 15 let i později. Primárním cílem CVSS je poskytnout deterministický a opakovatelný způsob hodnocení závažnosti zranitelnosti napříč mnoha různými volebními obvody, což spotřebitelům CVSS umožní použít toto skóre jako vstup do větší matice rozhodování o riziku, nápravě a zmírnění specifických pro jejich konkrétní prostředí a tolerance rizik.

Aktualizace specifikace CVSS verze 3.1 zahrnují objasnění definic a vysvětlení stávajících základních metrik, jako jsou Attack Vector, Požadovaná oprávnění, Rozsah a Bezpečnostní požadavky. Byla také definována nová standardní metoda rozšíření CVSS, nazývaná CVSS Extensions Framework, která umožňuje poskytovateli skórování zahrnout další metriky a skupiny metrik při zachování oficiálních metrik Base, Temporal a Environmental. Další metriky umožňují průmyslovým odvětvím, jako je ochrana osobních údajů, bezpečnost, automobilový průmysl, zdravotnictví atd., Zaznamenat faktory, které jsou mimo základní standard CVSS. A konečně, slovník pojmů CVSS byl rozšířen a vylepšen tak, aby zahrnoval všechny pojmy používané v dokumentaci CVSS verze 3.1.

Přijetí

Verze CVSS byly přijaty jako primární metoda pro kvantifikaci závažnosti zranitelností širokou škálou organizací a společností, včetně:

The Národní databáze zranitelnosti (NVD)^[13]
The Otevřená databáze zranitelnosti (OSVDB)^[14]
Koordinační centrum CERT,^[15] který zejména využívá metriky CVSSv2 Base, Temporal a Environmental

Viz také

Běžný výčet slabosti (CWE)
Běžné zranitelnosti a expozice (CVE)
Běžný výčet a klasifikace útočných vzorů (CAPEC)

Reference

^ „Common Vulnerability Scoring System, V3 Development Update“. First.org, Inc.. Citováno 13. listopadu 2015.
^ „Archiv CVSS v1“. First.org, Inc.. Citováno 2015-11-15.
^ „Historie CVSS v2“. First.org, Inc.. Citováno 2015-11-15.
^ „Oznámení zájmové skupiny CVSS pro vývoj CVSS v3“. First.org, Inc. Archivováno od originál dne 17. února 2013. Citováno 2. března 2013.
^ „Common Vulnerability Scoring System, V3 Development Update“. First.org, Inc.. Citováno 13. listopadu 2015.
^ „Kompletní dokumentace CVSS v2“. First.org, Inc.. Citováno 2015-11-15.
^ „CVSS - nedostatky, poruchy a poruchy“ (PDF). Zabezpečení založené na riziku. 2013-02-27. Citováno 2015-11-15.
^ „Bodovací systém CVSS“. Věštec. 01.06.2010. Citováno 2015-11-15.
^ „Specifikační dokument CVSS v3, .0“. FIRST, Inc.. Citováno 2015-11-15.
^ „Common Vulnerability Scoring System v3.0: Specification Document (Qualitative Severity Rating Scale)“. First.org. Citováno 2016-01-10.
^ „NVD Common Vulnerability Scoring System Support v2“. Národní databáze zranitelnosti. Národní institut pro standardy a technologie. Citováno 2. března 2013.
^ „CVSS a internet věcí“. Koordinační centrum CERT. 02.09.2015. Citováno 2015-11-15.
^ „Domovská stránka národní databáze zranitelností“. Nvd.nist.gov. Citováno 2013-04-16.
^ „Databáze zranitelnosti Open Source“. OSVDB. Citováno 2013-04-16.
^ „Závažnost zranitelnosti pomocí CVSS“. Koordinační centrum CERT. 2012-04-12. Citováno 2015-11-15.

externí odkazy

[cvss3.1-1] „Common Vulnerability Scoring System, V3 Development Update“. First.org, Inc.. Citováno 13. listopadu 2015.

[cvssv1-2] „Archiv CVSS v1“. First.org, Inc.. Citováno 2015-11-15.

[cvssv2-3] „Historie CVSS v2“. First.org, Inc.. Citováno 2015-11-15.

[cvss3-4] „Oznámení zájmové skupiny CVSS pro vývoj CVSS v3“. First.org, Inc. Archivováno od originál dne 17. února 2013. Citováno 2. března 2013.

[cvss3.0-5] „Common Vulnerability Scoring System, V3 Development Update“. First.org, Inc.. Citováno 13. listopadu 2015.

[cvssv2_specs-6] „Kompletní dokumentace CVSS v2“. First.org, Inc.. Citováno 2015-11-15.

[rbs_failures_cvssv2-7] „CVSS - nedostatky, poruchy a poruchy“ (PDF). Zabezpečení založené na riziku. 2013-02-27. Citováno 2015-11-15.

[oracle_partialplus-8] „Bodovací systém CVSS“. Věštec. 01.06.2010. Citováno 2015-11-15.

[cvssv3.0_specs-9] „Specifikační dokument CVSS v3, .0“. FIRST, Inc.. Citováno 2015-11-15.

[cvss3.0_severities-10] „Common Vulnerability Scoring System v3.0: Specification Document (Qualitative Severity Rating Scale)“. First.org. Citováno 2016-01-10.

[nist_ranges-11] „NVD Common Vulnerability Scoring System Support v2“. Národní databáze zranitelnosti. Národní institut pro standardy a technologie. Citováno 2. března 2013.

[cert_cvss_iot-12] „CVSS a internet věcí“. Koordinační centrum CERT. 02.09.2015. Citováno 2015-11-15.

[nvdb_main-13] „Domovská stránka národní databáze zranitelností“. Nvd.nist.gov. Citováno 2013-04-16.

[osvdb_main-14] „Databáze zranitelnosti Open Source“. OSVDB. Citováno 2013-04-16.

[cert_uses_cvss-15] „Závažnost zranitelnosti pomocí CVSS“. Koordinační centrum CERT. 2012-04-12. Citováno 2015-11-15.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]