CVSS – Common Vulnerability Scoring System چیست ؟
سیستم امتیازدهی آسیب پذیری عام یا CVSS – Common Vulnerability Scoring System یک چارچوب استاندارد برای ارزیابی و تعیین شدت آسیب پذیری های رایانه ای است.
به عبارت بهتر این سیستم سعی میکند با اختصاص دادن یک امتیاز به میزان شدت آسیب پذیری ها، به پاسخ دهندگان این امکان را بدهد که بتوانند برای رفع آسیب پذیری مورد نظر اولویت بندی کرده و منابع مورد نیاز را به آن اختصاص بدهند.
این امتیازدهی به وسیله فرمولی محاسبه میشود که دارای چند معیار است، که سعی دارد سهولت اکسپلویت کردن و همچنین اثرات اکسپلویت آن آسیبپذیری را مشخص کند. سیستم CVSS شامل سه گروه معیاری میباشد: پایه، موقتی و محیطی. گروه پایه نشاندهندهی ویژگیهای ذاتی آسیبپذیری، گروه موقتی نشان دهندهی ویژگیهای یک آسیبپذیری که در طول زمان تغییر میکند، و گروه محیطی نشاندهندهی ویژگیهای آسیبپذیری است که منحصر به محیط کاربر میباشد.
امتیازها در بازه ۰ تا ۱۰ قرار دارند، که در آن ۱۰ به شدیدترین تهدید اشاره دارد. درحالی که اغلب به امتیاز پایهٔ CVSS برای تعیین میزان شدت آسیبپذیری رجوع میکنند، امتیازهای زمانی و مکانی نیز وجود دارند که به ترتیب به دنبال تعیین دسترس پذیر بودن راه مقابله با تهدید و همچنین میزان گستردگی آسیبپذیری سیستمها در یک سازمان هستند.
یک امتیاز CVSS همچنین به عنوان یک رشته بردار نمایش داده میشود که یک نحوه نمایش متنی فشرده از مقادیر استفاده شده برای بهدست آوردن امتیاز است.
مزیتهای استفاده
- امتیازهای آسیب پذیری استانداردی را فراهم می کند. زمانی که یک سازمان از یک الگوریتم متداول برای امتیازدهی آسیب پذیری ها بر همه سکوهای کاری IT استفاده می نماید، می تواند از یک سیاست مدیریت آسیب پذیری بهره ببرد که زمان مجاز حداکثر برای اعتبارسنجی و از بین بردن یک آسیب پذیری را تعریف می کند.
- یک چارچوب کاری باز فراهم می سازد. ممکن است زمانی که به یک آسیب پذیری، یک امتیاز اختیاری توسط شخص ثالث انتصاب داده می شود، کاربران گیج شوند. با استفاده از CVSS، مشخصه های مورد استفاده برای بدست آوردن یک امتیاز شفاف هستند.
- CVSS به اولویت بندی ریسک کمک می کند. زمانی که امتیاز محیطی محاسبه شد، آسیب پذیری وابسته به بافت هر سازمان می شود و به فراهم سازی درک بهتری از ریسکی که یک آسیب پذیری برای سازمان دارد، کمک می کند.
تاریخچه
در خلال سالهای ۲۰۰۳/۲۰۰۴ طی تحقیقاتی که توسط انجمن مشورتی زیرساخت ملی (NIAC یا National Infrastructure Advisory Council) با هدف ایجاد یک سیستم استاندارد و آزاد صنعتی برای تعیین شدت آسیب پذیریهای کامپیوتری صورت پذیرفت، سرانجام منجر به ایجاد CVSS نسخه ۱ (CVSSv1) در فوریه ۲۰۰۵ شد. این پیشنویس(نسخه) اولیه هرگز مشروط بر بازنگری توسط سایر سازمانها نبود. در آوریل ۲۰۰۵ سازمان NIAC، انجمن پاسخ به حادثه و تیم امنیتی (FIRST یا Forum of Incident Response and Security Team) را متولی توسعهٔ CVSS در آینده انتخاب کرد.
پس از دریافت بازخورد که از طرف تولیدکنندگانی که از CVSSv1 در محصولات خود استفاده میکردند، مشخص شد که “مشکلات قابل توجهی در پیش نویس اولیه CVSS” وجود دارد. کار بر روی CVSS نسخه دوم (CVSSv2) از آوریل ۲۰۰۵ آغاز شد و کار بر روی مشخصات فنی نهایی آن از ژوئن ۲۰۰۷ آغاز شد.
پس از دریافت بازخوردهای بیشتر در سال ۲۰۱۲ کار بر روی CVSS نسخه سوم (CVSSv3) آغاز شد، که در نهایت این نسخه در ژوئن ۲۰۱۵ با نام CVSSv3.0 منتشر شد.
برآورد CVSS بر اساس اندازهگیری در سه زمینه بحرانی انجام میپذیرد :
- معیار اصلی برای تعیین کیفیت ذاتی آسیب پذیری.
- معیار زمانی که برای تعیین مشخصاتی است که در طول عمر آسیبپذیری تکامل پیدا میکند.
- معیار مکانی که به آسیب پذیریهایی اشاره دارد که به یک پیادهسازی یا یک محیط خاص وابسته هستند.
برای هریک از این سه مورد یک امتیاز عددی تولید میشود. یک رشته برداری (یا به سادگی “بردار” در CVSS)، مقدارهای تمامی معیارها را به عنوان یک بلوک متنی به نمایش میگذارد.
نظرات کاربران