CVSS – Common Vulnerability Scoring System چیست ؟

سیستم امتیازدهی آسیب پذیری عام یا CVSS – Common Vulnerability Scoring System یک چارچوب استاندارد برای ارزیابی و تعیین شدت آسیب پذیری های رایانه ای است.

به عبارت بهتر این سیستم سعی می‌کند با اختصاص دادن یک امتیاز به میزان شدت آسیب پذیری ها، به پاسخ دهندگان این امکان را بدهد که بتوانند برای رفع آسیب پذیری مورد نظر اولویت بندی کرده و منابع مورد نیاز را به آن اختصاص بدهند.

این امتیازدهی به وسیله فرمولی محاسبه می‌شود که دارای چند معیار است، که سعی دارد سهولت اکسپلویت کردن و همچنین اثرات اکسپلویت آن آسیب‌پذیری را مشخص کند. سیستم   CVSS شامل سه گروه معیاری می‌باشد: پایه، موقتی و محیطی. گروه پایه نشان‌دهنده‌ی ویژگی‌های ذاتی آسیب‌پذیری، گروه موقتی نشان دهنده‌ی ویژگی‌های یک آسیب‌پذیری که در طول زمان تغییر می‌کند، و گروه محیطی نشان‌دهنده‌ی ویژگی‌های آسیب‌پذیری است که منحصر به محیط کاربر می‌باشد.

امتیازها در بازه ۰ تا ۱۰ قرار دارند، که در آن ۱۰ به شدیدترین تهدید اشاره دارد. درحالی که اغلب به امتیاز پایهٔ CVSS برای تعیین میزان شدت آسیب‌پذیری رجوع می‌کنند، امتیازهای زمانی و مکانی نیز وجود دارند که به ترتیب به دنبال تعیین دسترس پذیر بودن راه مقابله با تهدید و همچنین میزان گستردگی آسیب‌پذیری سیستم‌ها در یک سازمان هستند.

یک امتیاز CVSS همچنین به عنوان یک رشته بردار نمایش داده می‌شود که یک نحوه نمایش متنی فشرده از مقادیر استفاده شده برای به‌دست آوردن امتیاز است.

مزیت‌های استفاده

• امتیازهای آسیب پذیری استانداردی را فراهم می کند. زمانی که یک سازمان از یک الگوریتم متداول برای امتیازدهی آسیب پذیری ها بر همه سکوهای کاری IT استفاده می نماید، می تواند از یک سیاست مدیریت آسیب پذیری بهره ببرد که زمان مجاز حداکثر برای اعتبارسنجی و از بین بردن یک آسیب پذیری را تعریف می کند.
• یک چارچوب کاری باز فراهم می سازد. ممکن است زمانی که به یک آسیب پذیری، یک امتیاز اختیاری توسط شخص ثالث انتصاب داده می شود، کاربران گیج شوند. با استفاده از CVSS، مشخصه های مورد استفاده برای بدست آوردن یک امتیاز شفاف هستند.
• CVSS به اولویت بندی ریسک کمک می کند. زمانی که امتیاز محیطی محاسبه شد، آسیب پذیری وابسته به بافت هر سازمان می شود و به فراهم سازی درک بهتری از ریسکی که یک آسیب پذیری برای سازمان دارد، کمک می کند.

تاریخچه

در خلال سال‌های ۲۰۰۳/۲۰۰۴ طی تحقیقاتی که توسط انجمن مشورتی زیرساخت ملی (NIAC یا National Infrastructure Advisory Council) با هدف ایجاد یک سیستم استاندارد و آزاد صنعتی برای تعیین شدت آسیب پذیری‌های کامپیوتری صورت پذیرفت، سرانجام منجر به ایجاد CVSS نسخه ۱ (CVSSv1) در فوریه ۲۰۰۵ شد. این پیش‌نویس(نسخه) اولیه هرگز مشروط بر بازنگری توسط سایر سازمان‌ها نبود. در آوریل ۲۰۰۵ سازمان NIAC، انجمن پاسخ به حادثه و تیم امنیتی (FIRST یا Forum of Incident Response and Security Team) را متولی توسعهٔ CVSS در آینده انتخاب کرد.

پس از دریافت بازخورد که از طرف تولیدکنندگانی که از CVSSv1 در محصولات خود استفاده می‌کردند، مشخص شد که “مشکلات قابل توجهی در پیش نویس اولیه CVSS” وجود دارد. کار بر روی CVSS نسخه دوم (CVSSv2) از آوریل ۲۰۰۵ آغاز شد و کار بر روی مشخصات فنی نهایی آن از ژوئن ۲۰۰۷ آغاز شد.

پس از دریافت بازخوردهای بیشتر در سال ۲۰۱۲ کار بر روی CVSS نسخه سوم (CVSSv3) آغاز شد، که در نهایت این نسخه در ژوئن ۲۰۱۵ با نام CVSSv3.0 منتشر شد.

برآورد CVSS بر اساس اندازه‌گیری در سه زمینه بحرانی انجام میپذیرد :

1. معیار اصلی برای تعیین کیفیت ذاتی آسیب پذیری.
2. معیار زمانی که برای تعیین مشخصاتی است که در طول عمر آسیب‌پذیری تکامل پیدا می‌کند.
3. معیار مکانی که به آسیب پذیریهایی اشاره دارد که به یک پیاده‌سازی یا یک محیط خاص وابسته هستند.

برای هریک از این سه مورد یک امتیاز عددی تولید می‌شود. یک رشته برداری (یا به سادگی “بردار” در CVSS)، مقدارهای تمامی معیارها را به عنوان یک بلوک متنی به نمایش میگذارد.