Основа истории Common Vulnerability Scoring System (CVSS)

#1 2022.11.17 07:28:40

0

Стандарт Common Vulnerability Scoring System был разработан группой экспертов по безопасности National Infrastructure Advisory Council. В группу вошли эксперты из различных организаций, таких как CERT/CC, Cisco, Microsoft, Qualys, DHS/MITRE, eBay, IBM Internet Security Systems, Symantec.

В 2005 году состоялась первая публикация стандарта. Принципы расчета метрики уязвимостей, изначально заложенные в стандарт, сохранились и по сей день.

Стандарт стал поддерживаться рабочей группой Common Vulnerability Scoring System-Special Interest Group (CVSS-SIG) в рамках проекта Forum of Incident Response and Security Teams (FIRST). Членство в группе не накладывает на ее участников каких-либо ограничений по поддержке и распространению стандарта.

В 2007 году была опубликована вторая версия стандарта: были внесены правки в перечень показателей и изменена формула расчета итоговой метрики для более точной оценки опасности уязвимостей.

В 2014 году рекомендации по использованию CVSSv2 выпускают такие авторитетные организации, как NIST и ITU, занимающиеся разработкой руководств и стандартов в области телекоммуникации и информационных систем.

Использование метрик CVSS для оценки уязвимостей закреплено в стандартах Payment Card Industry Data Security Standard (PCI DSS) (с англ. «стандарт безопасности индустрии платёжных карт») — это стандарт безопасности данных платёжных карт, учреждённый международными платёжными системами Visa, MasterCard, American Express, JCB и Discover.

Стандарты безопасности PCI разработаны для защиты платежных данных на протяжении всего жизненного цикла платежа и для обеспечения технологических решений, обесценивающих эти данные и тем самым лишающих преступников стимула к их краже и Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (сто бр иббс).

В июне 2015 года FIRST (Forum of Incident Response and Security Teams) опубликовал финальную версию стандарта CVSSv3, о котором и пойдет речь в данной статье.

CVSS предлагает простой инструментарий для расчета числового показателя по десятибалльной шкале, который позволяет специалистам по безопасности оперативно принимать решение о том, как реагировать на ту или иную уязвимость. Чем выше значение метрики, тем более оперативная реакция требуется.

В стандарт входят три группы метрики:
1. Базовые метрики описывают характеристики уязвимости, не меняющиеся с течением времени и не зависящие от среды исполнения. Этими метриками описывается непростая эксплуатация уязвимости и потенциальный ущерб для конфиденциальности, целостности и доступности информации.

2. Временные метрики, вносят в общую оценку поправку на неограниченность имеющейся информации об уязвимости, развитость эксплуатирующего кода (при его присуствии) и доступность исправлений при его корректиности.

3. Контекстные метрики - это характеристики уязвимости, которые зависят от среды.

Img


При помощи контекстных метрик эксперты по безопасности могут внести в результирующую оценку изменения с устраннеием с учетом характеристик информационной среды.

Временные и контекстные метрики необязательны (выборочны) и применяются для более точной оценки опасности, которую представляет данная уязвимость для более или менее конкретной инфраструктуры.

Значение метрики принято публиковать в виде пары из вектора (конкретные значения отдельных показателей) и числового значения, рассчитанного на основе всех показателей при помощи формулы, известной в стандарте.
Отредактировано: Panda 2022.11.17 08:55:02