本
天极按
通用漏洞评分系统(CVSS)是一个开放框架,用于表达软件漏洞的特征和严重性。CVSS包含四个指标组:基础组、威胁组、环境组和补充组。基础组代表随时间和跨用户环境变化的漏洞的内在特征,威胁组反映随时间变化的漏洞特征,环境组代表用户环境所特有的漏洞特征。环境基本指标值与假设威胁和环境指标最高严重性的默认值相结合,产生0 到10之间的分数。为了进一步细化生成的严重性分数,可以根据适用的威胁情报和环境来修改对应指标。补充指标并不会影响最终分数,而是用作对漏洞特征的额外说明。CVSS向量字符串由用于导出分数的值的压缩文本表示形式组成。本文档提供了CVSS 4.0 版的官方规范。
CVSS提供了一种标准化的方法,以便组织和个人能够一致地评估、比较和优先处理软件漏洞。CVSS的发展历程是一个不断完善和演进的过程,旨在提供一个标准化的方法来评估软件漏洞的严重性和影响。在CVSS 3.1的基础上,CVSS 4.0进行了重大更新,以更好地适应现代软件环境和威胁态势。CVSS 4.0的开发旨在解决早期版本中的一些问题,并提高评分系统的整体有效性。这一更新有助于更准确地评估脆弱性,并促进不同组织之间的一致性。
-
强化了CVSS 不仅仅是基础分值的概念;
-
增加了新的术语,以识别基础分(CVSS-B)、基础分+ 威胁分(CVSS-BT)、基础分+ 环境分(CVSS-BE) 和基础分+ 威胁分+ 环境分(CVSS-BTE) 的组合
-
通过增加新的基础指标和值,实现更精细的粒度:
-
新基础指标:攻击要求 (AT)
-
新的基础指标值:用户交互 (UI):被动 (P) 和主动(A)
-
增强了影响指标的披露:
-
失效场景
-
明确评估对脆弱系统(VC、VI、VA)和后续系统(SC、SI、SA)的影响
-
时间指标组更名为威胁指标组
-
简化并明确了威胁指标
-
不再使用修复级别(RL) 和报告可信度(RC)
-
漏洞 "代码"成熟度更名为漏洞成熟度(E),数值更清晰
-
新增"补充指标组",用于表达不影响最终CVSS-BTE 得分的漏洞附加外在属性
-
安全性(S)
-
可自动化(A)
-
恢复 (R)
-
价值密度(V)
-
漏洞响应力度(RE)
-
提供商紧迫性(U)
-
额外关注OT/ICS/安全
-
消费者评估的安全性(MSI:S, MSA:S)
-
提供方通过安全(S) 补充指标评估安全性
CVSS 4.0旨在提供更加简化的评分过程,通过更清晰的度量指导和定义来减少主观性。这一更新有助于更准确地评估脆弱性,并促进不同组织之间的一致性。
-
新型评分机制:CVSS 4.0对评分机制进行了更新,以更好地反映当前的安全威胁和漏洞利用情况。改进了度量标准的定义和权重,以及引入了新的度量标准。
-
引入新型指标:CVSS 4.0增加了新指标,以提供更全面和细致的漏洞评估。这些新指标包括攻击向量的变化、攻击者所需权限的细分、漏洞利用所需的用户交互程度等。
-
评分颗粒度的细化:通过引入新型指标和修改现有指标,CVSS 4.0能够提供更细粒度的评分,从而更准确地反映漏洞的严重性和潜在影响。这使得安全团队能够更精确地评估漏洞,并据此制定更有效的修复策略。
-
影响指标披露范围的扩大:CVSS 4.0扩大了影响指标的披露范围,以更全面地描述漏洞可能造成的潜在影响。这包括了对业务连续性、数据保护、隐私泄露等方面的考虑,从而帮助安全团队更全面地了解漏洞的风险。
-
更具针对性的修复建议:由于CVSS 4.0提供了更详细和准确的漏洞评估,安全团队能够基于这些评估结果提出更具针对性的修复建议。这些建议可以针对特定的漏洞特征和潜在影响,从而更有效地提升系统的安全性和防范能力。
-
结合多种手段进行评估:CVSS 4.0鼓励安全团队结合多种手段进行漏洞评估,包括技术测试、威胁情报、安全事件分析等。这种综合评估方法能够提供更全面和准确的风险评估结果,有助于安全团队制定更有效的安全策略和应对措施。
CVSS 4.0的发布标志着CVSS框架的进一步成熟和完善,为组织提供了更强大、更灵活的工具来评估和管理软件漏洞的风险。下文将对CVSS 4.0版本规范文档的内容进行详细展示。
通用漏洞评分系统(CVSS)捕捉软件、硬件和固件漏洞的主要技术特征。它的输出包括数字分值,表示一个漏洞相对于其他漏洞的严重程度。
CVSS由四个指标组组成:基础组、威胁组、环境组和补充组。基础分数根据漏洞的内在特征反映了漏洞的严重性,这些特征随着时间的推移保持不变,并假设不同部署环境中合理的最坏情况影响。威胁指标根据概念验证代码的可用性或主动利用等因素调整漏洞的严重性。环境指标进一步细化了特定计算环境的严重性评分。考虑诸如该环境中是否存在缓解措施以及易受攻击系统的关键属性等因素。最后,补充指标描述并测量漏洞的其他外部属性,旨在添加上下文。
基础指标和可选的补充指标由维护易受攻击系统的组织或代表其进行评估的第三方提供。威胁和环境信息只提供给最终用户。CVSS消费者应根据其使用易受攻击系统的具体情况,使用威胁和环境度量值来丰富基本度量值,以生成一个可为其组织的具体风险评估提供更全面输入的分数。用户可使用CVSS 信息作为组织漏洞管理流程的输入,该流程也会考虑不属于CVSS的因素,以便对其技术基础设施面临的威胁进行排序,并做出明智的修复决策。这些因素可能包括但不限于:监管要求、受影响客户的数量、漏洞造成的经济损失、生命或财产受到的威胁,或潜在漏洞被利用的声誉影响。这些因素超出CVSS 的范围。
CVSS的好处包括提供标准化的供应商和平台无关的漏洞评分方法。它是一个开放的框架,为个人特征和用于得出分数的方法提供透明度。
CVSS由基础组、威胁组、环境组和补充组四个指标组组成,每个指标组由一组指标组成,如图1 所示。
图 1:CVSS指标组
基础指标组代表了漏洞的内在特征,这些特征在不同时间和不同用户环境下是不变的。它由两组指标组成:可利用性指标和影响指标。
可利用性指标反映了利用漏洞的难易程度和技术手段。也就是说,它们代表了"易受攻击事物"的特征,我们将其正式称为"易受攻击系统"。影响度量反映了成功利用漏洞的直接后果,代表了对"受影响事物"的后果,可能包括对易受攻击系统的影响和/或对正式称为"后续系统"的下游影响。
虽然易受攻击的系统通常是软件应用程序、操作系统、模块、驱动程序等(或者可能是硬件设备),但后续系统可以是这些示例中的任何一个,但也包括人类安全。这种衡量易受攻击系统以外的漏洞影响的潜力是CVSS v3.0引入的一项关键功能。该属性(以前称为“范围”)是通过对易受攻击的系统和后续系统的影响进行分离来捕获的,稍后将对此进行讨论。
威胁指标组反映了与威胁相关的漏洞的特征,这些特征可能会随着时间的推移而变化,但不一定会跨用户环境变化。例如,确认该漏洞既没有被利用,也没有任何公开可用的概念验证利用代码或指令,将会降低生成的CVSS 分数。此指标组中找到的值可能会随时间而变化。
环境指标组代表与特定消费者环境相关且独特的漏洞特征。考虑因素包括是否存在可以减轻成功攻击的部分或全部后果的安全控制,以及技术基础设施中易受攻击的系统的相对重要性。
补充指标组包括提供上下文以及描述和测量漏洞的其他外部属性的指标。对补充指标组内每个指标的响应由CVSS使用者确定,从而允许使用最终用户风险分析系统将本地重要的严重性应用于指标和值。在其规范范围内,任何指标都不会对最终的CVSS 分数(例如CVSS-BTE)产生任何影响。然后,消费者组织可以分配每个指标或指标集/组合的重要性和/或有效影响,从而对漏洞的分类、优先级和评估给予更多、更少或完全没有影响。指标和值将简单地传达漏洞本身的附加外在特征。
下面将进一步详细讨论这些指标中的每一个。用户指南包含基本指标的评分标准,在评分时可能有用。
当分析师为基础指标分配值时,基本指标评估会产生0.0 到10.0 之间的分数。
然后,可以通过评估威胁和环境指标来进一步细化基本指标评估,以便更准确地反映特定时间点的漏洞对用户环境造成的相对严重性。不需要评估威胁和环境指标,但强烈建议评估,以获得更有意义的结果。
通常,基本指标由漏洞公告分析师、产品供应商或应用程序供应商指定,因为他们通常拥有有关漏洞特征的最准确信息。威胁和环境指标由消费者组织指定,因为他们最能够在给定时间点评估自己的计算环境中的漏洞的潜在影响。
评估CVSS指标还会生成一个向量字符串,这是指标值的文本表示形式,用于得出漏洞的定量分数和定性评级。该向量字符串是一个特定格式的文本字符串,其中包含分配给每个指标的每个值,并且应与漏洞分数一起显示。下面进一步解释评分评估和向量串。
请注意,所有指标均应在攻击者完全了解漏洞的情况下进行评估。也就是说,分析人员不需要考虑识别漏洞的方法。此外,许多不同类型的个人可能会评估漏洞(例如,软件供应商、漏洞公告分析师、安全产品供应商),但是请注意,CVSS评估旨在对个人及其组织不可知。
根据用于计算的指标,CVSS数值分数具有非常不同的含义。关于优先级,CVSS数值分数的有用性与用于生成该分数的CVSS 指标成正比。因此,数字CVSS 分数应使用传达其生成中使用的指标的术语进行标记。
-
无论何时显示或传达CVSS 数值,都应使用此命名法。
-
环境和威胁指标的应用是CVSS消费者的责任。产品维护人员等评估提供商和国家漏洞数据库(NVD) 等其他公共/私人实体通常仅提供CVSS-B 列举的基本分数。
-
如果使用任何环境指标来生成结果分数,则在命名法中包含“E”是适当的。
-
如果使用任何威胁指标来生成结果分数,则在命名法中包含“T”是适当的。
-
在 CVSS v4.0中,计算最终分数时始终考虑基础、威胁和环境指标值。缺乏明确的威胁和/或环境指标选择仍将导致使用默认(“未定义”)值的完整分数。该命名法明确且清楚地表明了所提供的CVSS 数值分数中考虑了哪些指标组。
如前所述,可利用性指标反映了“易受攻击的事物”的特征,我们正式将其称为易受攻击的系统。因此,下面列出的每个可利用性指标都应相对于易受攻击的系统进行评估,并反映导致成功攻击的漏洞的属性。
在评估基础指标时,应假设攻击者对目标系统有深入的了解,包括一般配置和默认防御机制(例如内置防火墙、速率限制、流量监管)。例如,利用导致可重复、确定性成功的漏洞仍应被视为攻击复杂性的低值,与攻击者的知识或能力无关。此外,特定目标的攻击缓解(例如,自定义防火墙过滤器、访问列表)应该反映在环境指标评分组中。
特定配置不应影响有助于CVSS Base指标评估的任何属性,即,如果攻击成功需要特定配置,则应假设易受攻击的系统处于该配置中,然后对其进行评估。
该指标反映了可能利用漏洞的环境。攻击者利用易受攻击的系统的距离(逻辑上和物理上)越远,该指标值(以及由此产生的严重性)就会越大。假设是,可通过网络利用的漏洞的潜在攻击者数量大于可利用需要物理访问设备的漏洞的潜在攻击者数量,因此需要更高的严重性。表1 列出了可能的值。
评估指南:在决定使用 "网络"还是"毗邻"时,如果攻击可以通过广域网或从逻辑上毗邻的管理网域之外发起,则使用"网络"。
该指标用于衡量攻击者必须采取哪些可测量的行动来主动规避或绕过现有的内置安全增强条件,以获得有效的漏洞利用。这些条件的主要目的是提高安全性和/或增加漏洞利用工程的复杂性。没有特定目标变量也可利用的漏洞,其复杂性要低于需要非实质性定制的漏洞。该指标旨在捕捉漏洞系统所使用的安全机制,与攻击者成功(如竞赛条件)所需的时间或尝试次数无关。如果攻击者不采取行动克服这些条件,攻击将永远失败。
身份验证机制或必要条件的规避或满足包含在权限要求评估中,在此不作为攻击复杂性的相关因素考虑。
表 2:攻击复杂性
如第 2.1节所述,对易受攻击系统的详细了解不属于攻击复杂性的范围。当存在针对特定目标的攻击缓解措施时,请参阅该节以获取有关攻击复杂性评分的额外指导。
该指标捕捉易受攻击系统的先决部署和执行条件或变量,使攻击成为可能。它们不同于安全增强技术(参见"攻击复杂性"),因为这些条件的主要目的不是明确减轻攻击,而是作为易受攻击系统部署和执行的结果自然出现。如果攻击者不采取行动克服这些条件,攻击可能只是偶尔成功或根本不会成功。
表3:攻击要求
该指标描述攻击者在成功利用漏洞之前必须具备的权限级别。攻击者在攻击前获取特权凭证的方法。如免费试用账户不在此指标范围内。一般来说,如果攻击者在攻击过程中赋予自己权限,则自助提供的账户不构成权限要求。
如果不需要权限,则得分最高。表4 列出了可能的值。
表 4:所需权限
评估指南:对于硬编码凭证漏洞或需要社会工程学的漏洞(如反映的跨站脚本、跨站请求伪造或PDF 阅读器中的文件解析漏洞),"需要权限"通常为"无"。未更改或在每个环境中都不唯一的默认凭据应与硬编码凭据同等对待。
该指标反映了除攻击者之外的人类用户参与成功入侵脆弱系统的要求。这一指标决定了漏洞是否可以完全按照攻击者的意愿被利用,或是否必须有一个单独的用户(或用户发起的进程)以某种方式参与。当不需要用户交互时,得分最高。表5 列出了可能的值。
表 5:用户交互
影响指标捕获成功利用漏洞的影响。分析师应该将影响限制在他们相信攻击者能够实现的合理的最终结果。
在评估漏洞的影响指标时,仅应考虑因成功利用而导致的访问权限增加、获得的特权或其他负面结果。例如,考虑一个需要只读权限才能利用该漏洞的漏洞。成功利用该漏洞后,攻击者将保持相同级别的读取访问权限,并获得写入访问权限。在这种情况下,仅应对完整性影响指标进行评分,而机密性和可用性影响指标应设置为“无”。
请注意,在对影响的增量变化进行评分时,应使用最终影响。例如,如果攻击者开始部分访问受限信息(机密性低),并且成功利用漏洞导致机密性完全丧失(机密性高),则生成的CVSS基本指标值应引用“最终游戏”影响指标值(保密性高)。
在确定影响指标的值时,评估提供者需要考虑对脆弱系统的影响以及脆弱系统外部的影响。这些影响由两组影响指标确定:“脆弱系统影响”和“后续系统影响”。在建立脆弱系统指标值的边界时,评估提供者应使用感兴趣系统的概念模型。
形式上,对漏洞进行评分的系统被定义为在具有一致功能和安全策略集的环境中执行的一组计算逻辑。该漏洞存在于此类系统的一个或多个组件中。从消费者的角度来看,服务于某种目的或功能的技术产品或解决方案被视为一个系统(例如,服务器、工作站、容器化服务等)。
当一个系统仅向另一个系统提供其功能时,或者它被设计为专门由另一个系统使用时,那么它们一起被视为评分感兴趣的系统。例如,仅由智能扬声器使用的数据库被视为该智能扬声器系统的一部分。如果数据库中的漏洞导致智能扬声器发生故障,则数据库及其服务的智能扬声器都将被视为易受攻击的系统。当漏洞对易受攻击的系统之外没有影响时,评估提供商应将后续系统影响指标保留为“无”(N)。
在易受攻击的系统之外发生的所有影响(如果有)应反映在后续系统影响集中。仅在环境指标组中进行评估时,除了为感兴趣系统定义的逻辑系统之外,后续系统影响还可能包括对人类的影响。环境指标组中的人类影响选项将在下面的安全(S) 中进一步解释。
该指标衡量由于成功利用漏洞而对系统管理的信息的机密性造成的影响。保密性是指仅限授权用户访问和披露信息,并防止未经授权的用户访问或披露信息。当系统损失最高时,所得分数最高。表6(针对易受攻击的系统)和表7(当后续系统受到影响时)列出了可能值的列表。
该指标衡量成功利用的漏洞对完整性的影响。完整性是指信息的可信度和真实性。当攻击者对系统数据进行未经授权的修改时,系统的完整性就会受到影响。当系统用户可以否认在系统上下文中采取的关键操作时(例如,由于日志记录不足),完整性也会受到影响。
当对系统的影响最高时,所得分数最高。表8(针对易受攻击的系统)和表9(当后续系统受到影响时)列出了可能值的列表。
表8:对脆弱系统的完整性影响(VI)计分
该指标用于衡量成功利用漏洞对受影响系统可用性的影响。保密性和完整性影响指标适用于系统使用的数据(如信息、文件)的保密性或完整性的损失,而本指标指的是受影响系统本身可用性的损失,如网络服务(如网络、数据库、电子邮件)。由于可用性指的是信息资源的可访问性,因此消耗网络带宽、处理器周期或磁盘空间的攻击都会影响系统的可用性。当对系统造成的后果最大时,得分也最大。表10(针对易受攻击系统)和表11(当有后续系统受到影响时)列出了可能的值。
表 10:对易受损害系统(VA) 的可用性影响
威胁度量衡量漏洞利用技术或代码可用性的现状。
该指标根据漏洞利用技术的现状、漏洞利用代码的可用性或活跃的"实地"利用情况,衡量漏洞被攻击的可能性。公开易用的漏洞利用代码或漏洞利用指令会增加潜在攻击者的数量,包括那些不熟练的攻击者。最初,现实世界中的利用可能只是理论上的。随后可能会公布概念验证利用代码、功能利用代码或利用漏洞所需的足够技术细节。此外,现有的漏洞利用代码或说明可能会从概念验证演示发展为持续成功利用漏洞的漏洞利用代码。在严重的情况下,它可能会作为基于网络的蠕虫病毒或其他自动攻击工具的有效载荷被传递。
CVSS消费者有责任根据漏洞利用代码/程序的可用性和漏洞利用技术的状况等信息,填充漏洞利用成熟度(E) 的值。这些信息在本文件中称为"威胁情报"。
操作建议:应优先选择能提供所有漏洞的 "漏洞利用成熟度"信息的威胁情报来源,而不是只提供部分信息的情报来源。此外,建议使用多种威胁情报来源,因为许多来源并不全面。应尽可能频繁地更新这些信息,并自动将其应用于CVSS 评估。
表12列出了可能的值。漏洞越容易被利用,漏洞得分就越高。
表12:漏洞利用成熟度
这些指标使用户分析师能够根据受影响IT资产对用户所在组织的重要性来定制评分结果,评分标准包括现有的补充/替代安全控制措施、保密性、完整性和可用性。这些指标相当于基础指标的修改版,并根据系统在组织基础架构中的位置进行赋值。
这些指标使用户能够根据受影响IT资产对分析师所在组织的重要性(以保密性、完整性和可用性衡量)来定制评估。也就是说,如果IT资产支持的业务功能中可用性最为重要,那么分析师就可以赋予可用性指标相对于机密性和完整性更大的价值。每个安全要求都有三种可能的值:低、中、高,或默认值未定义 (X)。
对环境评分的全部影响由相应的"修正基本影响"指标决定。按照假设"合理的最坏情况"的概念,在没有明确值的情况下,这些指标被设为默认值未定义(X),相当于指标值高(H)。
表 13列出了可能的值。为简洁起见,同一张表适用于所有三个指标。安全要求越低,得分越低(请注意,"高"被视为默认值)。
表 13:安全要求
这些度量标准使用户分析师能够根据用户环境的具体特征覆盖单个基本度量标准值。影响可开发性或影响的特征可通过适当修改的环境度量值来反映。
对所得评分的全部影响由相应的基础指标决定,具体如下:
-
如果修改后的基本度量值为未定义(X),则将使用原始基本度量值计算得分
-
如果定义了修改后的"基本指标"值,则在计算指标时,"基本指标"值将被"修改后的 基本指标 "值取代。
如果提供者将 "所需基本尺度权限"设为"低"(PR:L),而分析员将"所需修改权限"设为"高"(MPR:H),那么计算所得分数时,将把"所需基本尺度权限"设为"高"。同样,如果提供商将基础指标攻击向量设置为网络(AV:N),而分析师将修改后的攻击向量设置为物理攻击(MAV:P),那么计算出的分数将视同基础攻击向量设置为物理攻击。
修正的后续系统完整性(MSI)和修正的后续系统可用性(MSA)是这一规则的特例,可将其设 置为额外的安全(S)特殊值,该值不包括在基本后续系统影响指标中。在这种特殊情况下,特殊值将直接用于计算分值,详见下文第4.2.1 节。
这些指标的目的是确定特定环境下的缓解和补偿控制措施。使用修改后的指标来表示可提高得分的情况是可以接受的。下面是一些示例:
-
例1:某个组件的默认配置可能需要很高的权限才能访问特定功能。但是,在消费者分析师的环境中,可能默认授予管理权限,而不对用户进行身份验证。分析师可以将"所需权限"设为"高",将"修改所需权限"设为"无",以反映其特定环境中这一更严重的情况。
-
例2:易受攻击系统的默认配置可能是以管理员权限运行监听服务,对该服务的破坏可能会给攻击者带来保密性、完整性和可用性都很高的影响。然而,在消费者分析师的环境中,同样的互联网服务可能以较低的权限运行;在这种情况下,修改后的机密性、修改后的完整性和修改后的可用性可能都被设置为低。
-
例3:位于隔离网络中的系统和设备无法通过广域网(WAN)访问或访问互联网。在这些系统上发现的所有漏洞,其"网络"的攻击向量(AV)值都可以降为"邻近"。
为简洁起见,仅提及"修正基本指标"的名称。每个"修改后环境度量"的值都与相应的"基础度量"相同,另外还有"未定义"和"安全"值。未定义"是默认值,使用相关基础指标的指标值。
当一个系统因其部署方式或地点而对安全产生影响时,利用该系统中的漏洞可能会对安全产生影响,这种影响可在"环境指标"组中体现。
如果利用技术漏洞(影响易受攻击系统的可用性或完整性)有可能影响人类安全,则应使用修改后的安全(s)系统影响(即MSI:S/MSA/S)。
安全度量值衡量的是人类行为者或参与者因漏洞被利用而受到可预测伤害的安全影响。与其他影响度量值不同,安全度量值只能与后续系统影响集相关联,并应与可用性和完整性度量的N/L/H 影响值一起考虑。
注:如果安全影响适用,即使可用性和完整性指标已提供H 影响值,也应明确指定安全影响。
如果根据下图中列出的IEC 61508定义,可以预测被利用的漏洞可能导致边际或更严重的伤害,则安全影响适用。
表 14:IEC 61508 定义
注:安全指标值在补充指标组(由评估提供者提供)和环境指标组(由消费者分析师提 供)中均可使用。可能的数值列表如下。
表15:修改后的基本指标
补充指标组是一个新的、可选的指标组,它提供新的指标来描述和测量漏洞的额外外在属性。虽然补充指标的评估由提供商提供,但补充指标组中每个指标的使用和响应计划由消费者决定。在每个用户的环境中,使用这种背景信息的方式可能不同。任何指标都不会对最终计算出的CVSS 得分(如CVSS-BTE)产生任何影响。然后,组织可分配每个指标或指标集/指标组合的重要性和/或有效影响,使其对最终风险分析产生更大、更小或完全没有影响。指标和数值只是传达了漏洞本身的额外外在特征。
与所有"补充指标"一样,为"安全"提供一个值完全是可选的。供应商和销售商(又称:评分提供商)可以将安全作为补充指标,也可以不将其作为补充指标。
当一个系统的预期用途或目的适合性与安全相一致时,利用该系统中的漏洞可能会对安全产生影响,这可以在"补充指标"组中体现出来。没有提供安全指标值并不意味着没有任何与安全相关的影响。安全补充指标的可能值如下:
表 16:安全
安全补充指标值表示漏洞被利用后对人类行为者或参与者安全的影响程度。
请注意,尽管向量字符串值不同,但"安全"度量指标在"环境"和"补充"上下文中都有定义。作为补充指标,与上表一致,安全可以用S:X、S:P或S:N 的指标值来描述。
可自动化指标根据步骤捕捉"=攻击者能否在多个目标上自动利用漏洞,这些步骤包括侦察、武器化、交付和利用。如果进行评估,该指标的值可以是"否"或"是":
表17:可自动执行
目前,许多供应商通过产品安全公告向消费者提供补充严重性评级。其他供应商则在其公告中发布CVSS 规范文档中的定性严重性评级。
为便于采用标准化方法纳入提供商提供的额外评估,提供了一个名为"供应商紧迫性"的可选"直通"补充指标。
注:虽然产品供应链上的任何评估提供商都可以提供提供商紧急程度评级,但如果提供商不提供紧急程度评级,则会被视为"不合格":
库维护者 → OS/Distro 维护者 → 提供商 1 ... ... 提供商n (PPP) → 消费者
倒数第二个产品提供商(PPP) 最适合直接评估提供商的紧迫性。
表18:提供商紧迫性
恢复能力是指系统在受到攻击后,在性能和可用性方面恢复服务的复原能力。
表 19:恢复能力
价值密度描述了攻击者通过一次利用事件获得的资源控制权。它有两种可能的值,即扩散值和集中值:
表 20:价值密度
漏洞响应努力度量的目的是提供补充信息,说明消费者对其基础设施中部署的产品和服务的漏洞影响做出初步响应的难度。消费者在应用缓解措施和/或安排补救措施时,可以将这些有关所需努力的补充信息考虑在内。
计算漏洞响应努力度时,应考虑部署最快可用响应所需的努力度。
表21:漏洞响应工作量
在某些情况下,用文字表述得出的基础、威胁和环境分数是有用的。所有CVSS 得分(无论术语如何)都可映射到表22中定义的定性评级中
表 22:定性严重性评级表
例如,CVSS基本分值5.0的相关严重性评级为中等。这些定性严重性评级的使用是可选的,发布CVSS得分时也不要求包含这些评级。它们旨在帮助企业正确评估其漏洞管理流程并确定优先级。
CVSS v4.0 矢量字符串是一组CVSS指标的文本表示。它通常用于以简洁和机器可读的形式记录或传输CVSS 指标信息。
CVSS v4.0 向量字符串以标签"CVSS: "和当前版本的数字表示"4.0 "开头。接下来是一组度量信息,每个度量前都有一个作为分隔符的斜线"/"。每个度量单位都包含一个缩写形式的度量单位名称、一个冒号(":")以及缩写形式的相关度量单位值。缩写形式已在本规范前面定义(在每个度量名称和度量值后面的括号中,区分大小写),并在下表中进行了总结。
矢量字符串必须按照表23所示的顺序包含指标,其他顺序无效。矢量字符串中必须包含所有基本指标。威胁度量、环境度量和补充度量是可选的,省略的度量值将被视为未定义(X)。如果需要,可以在矢量字符串中明确包含值为"未定义"的指标。生成或使用CVSS v4.0矢量字符串的系统必须按以下顺序进行,并将未指定的"威胁"、"环境"和"补充"视为"未定义"。矢量字符串不得多次包含同一指标。
表23:基础、威胁和环境媒介
例如,一个漏洞的基本度量值为
-
攻击向量: 网络
-
攻击复杂性 低
-
攻击要求: 无 无
-
权限要求: 高 高
-
用户交互: 无
-
易受攻击的系统保密性: 低
-
易受攻击的系统完整性: 低
-
易受攻击的系统可用性: 无
-
无后续系统影响(C/I/A)、
-
没有指定的威胁或环境度量将产生以下矢量:
-
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N
-
添加“利用成熟度:攻击”的同一示例将产生以下向量:
-
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N/ E: A
以下示例是有效的CVSS v4.0 向量,并附有简短说明:
-
CVSS-BT 样本向量字符串
-
CVSS:4.0/AV:A/AC:H/AT:P/PR:L/UI:P/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L/E:磷
-
CVSS-BE 样本向量字符串
-
CVSS:4.0/AV:L/AC:H/AT:N/PR:N/UI:A/VC:N/VI:N/VA:L/SC:H/SI:H/SA:H/CR: H/IR:H/AR:M/MAV:N/MAC:L/MAT:P/MPR:L/MUI:A/MVC:N/MVI:H/MVA:L/MSC:L/MSI:S/ MSA:H
-
带有补充样本向量字符串的CVSS-B
-
CVSS:4.0/AV:P/AC:H/AT:P/PR:L/UI:P/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L/E: A/S:P/AU:Y/R:A/V:D/RE:L/U:红色
-
带有补充样本向量字符串的CVSS-BTE
-
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N/E: U/CR:L/IR:X/AR:L/MAV:A/MAC:H/MAT:N/MPR:N/MUI:P/MVC:X/MVI:N/MVA:H/MSC:N/ MSI:L/MSA:S/S:N/AU:N/R:I/V:C/RE:H/U:绿色
以下向量无效,并附有简短说明:
-
“F”不是“AV”的有效值
-
CVSS:4.0/AV:F/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
-
“E”指标被定义多次
-
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N/E:航空/电子:X
-
“ui”不是有效的公制缩写
-
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/ui:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
-
缺少 CVSS v4.0 前缀
-
AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
-
缺少强制性指标“VA”
-
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/SC:N/SI:N/SA:N
-
不遵守固定顺序(带补充的CVSS-BTE)
-
CVSS:4.0/AC:L/AV:N/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N/CR:L/IR: X/AR:L/RE:H/MAV:A/MAC:H/MAT:N/MPR:N/MUI:P/AT:N/MVC:X/MVI:N/MVA:H/MSC:N/ MSI:L/MSA:S/E:U/S:N/AU:N/R:I/V:C/U:绿色
CVSS v4.0 的评分系统开发大致包括以下步骤:
1. 使用度量组将1,500 万个CVSS-BTE 向量按照定性严重性可比的关系汇集成270 个不相交的等价集;
2. 请专家比较代表每个等价集的向量;
3. 使用专家比较数据计算从最不严重到最严重的向量顺序;
4. 征求专家意见,决定向量排序中哪个等价集的向量p 代表定性严重性分数之间的边界,以便与CVSS v3.x 中的定性严重性分数边界向后兼容;
5. 将每个定性严重性分区中的等效向量集压缩为该分区中的可用分数数(例如,9.0至10.0 表示严重,7.0至8.9 表示较严重,等等)。
6. 创建一个小的分数修正系数,用于调整定性等效向量集内向量的分数,以便在可能的情 况下,任何度量值的变化都会导致分数的变化。这样做的目的是使分数变化不大于第2步中从专家比较数据中收集到的向量组排序的不确定性。这一点将在下文第8.2 节中进一步讨论。
有关 CVSS v4.0 中开发的新评分计算方法的更多信息,请参见《CVSS v4.0 用户指南》第2.5 节。
CVSS v4.0公式提供了按严重性排序的所有可能度量组合的数学近似值,其中向量被聚类为称为宏向量(MacroVectors)的集合。宏矢量是第8.1 节(第1-3 步)所述专家评估流程确定具有可比定性严重性的CVSS矢量集之一。从定性的角度看,每个宏向量构成一个等价类。
宏矢量的分值由上述主题专家流程定义的查找表确定,并在第8.3节中具体说明。每个宏矢量中一个矢量的得分是通过内插法确定的。
为初步确定相关的宏向量集,专家小组确定了以下初步指标分组。为获得更精细的分辨率,还可确定更多的均衡器或等级。
EQ1 → AV/PR/UI,3个等级如表24 所示
EQ2 → AC/AT,2个等级如表25 所示
EQ3 → VC/VI/VA,3个等级如表26 所示
EQ4 → SC/SI/SA,具有表27 中规定的3 个级别
EQ5 → E,具有表28 中规定的3 个等级
EQ6 → VC/VI/VA+CR/CI/CA,表29 中规定了2 个级别
直观地说,度量分组的每个等级对应不同的严重程度,0为最严重,1或2 为最不严重。
CVSS v4.0公式提供了按严重性顺序排列的所有可能度量组合的数学近似值,其中向量聚集在称为MacroVectors的集合中。MacroVector 是第8.1 节(步骤1-3)中描述的专家评估过程确定为具有可比较的定性严重性的CVSS矢量集之一。从这样的定性角度来看,每个MacroVector构成了一个等价类。
由于 EQ3和EQ6 不是独立的,因此必须一起考虑:
-
EQ3+EQ6 → 确定表30 中规定的5 个等级
宏矢量的最高严重性矢量是符合以下条件的矢量
-
满足加入宏矢量的布尔条件
-
宏矢量中没有其他矢量在至少一个度量上具有更高的严重性。
宏矢量中严重度最低的矢量是以类似方式确定的。
一个宏矢量可能有多个最高严重性矢量和多个最低严重性矢量。例如,表24 所示满足EQ1 第1 级的宏矢量,其最高严重性矢量的所有矢量为:
因其都满足表24 中规定的约束条件。
-
(AV:N或PR:N 或UI:N)和
-
因为有AV:A/PR:N/UI:N、AV:N/PR:L/UI:N、AV:N/PR:N:/UI:P
-
不是(AV:N和PR:N 和UI:N)和
-
因为有AV:A/PR:N/UI:N,AV:N/PR:L/UI:N,AV:N/PR:N:/UI:P
-
而不是AV:P
-
因为有AV:A/PR:N/UI:N、AV:N/PR:L/UI:N、AV:N/PR:N:/UI:P
表 24:EQ1 - 宏向量
表 25:EQ2 - 宏向量
表 26:EQ3 - 宏向量
表 27:EQ4 - 宏向量
如果MSI=X 或MSA=X,则根据4.2 节中修改的基本度量的规则,它们将默认为SI 和SA 的相应值(参见表15)。因此,如果没有修改基本指标,EQ4可以达到的最高值为1。
表 28:EQ5 - 宏向量
表29:EQ6 - 宏向量
如果CR=X、IR=X或AR=X,它们将默认为最坏情况(即CR=H、IR=H和AR=H)。
表 30:联合EQ3+EQ6 - 宏向量
给定两个向量,它们之间的严重性距离是将一个向量转换成另一个向量所需的第2 节排序中各个指标连续逐步变化的次数。
例如,一个包含VC:H/VI:H/VA:H 的矢量与一个包含VC:H/VI:L/VA:N 的矢量的严重性距离为3,其他方面完全相同。
宏矢量的深度是宏矢量的最高严重性矢量和最低严重性矢量之间的最大严重性距离。
通过图形可视化可以更好地理解深度的概念。例如,表26 将EQ3=2 定义为所有度量值,即不存在(VC=H或VI=H 或VA=H)。图2显示了从最高严重性向量(VC:L/VI:L/VA:L)到最低严重性向量(VC:N/VI:N/VA:N)的宏向量中VC、VI和VA 的所有度量值。
图 2:包含EQ3=2 的MacroVector 向量,其他均固定不变。
宏矢量中的最高严重性矢量总是按照GitHub 上CVSS v4.0 计算器参考实现中的cvss_lookup.js文件中宏矢量的得分来分配(参见第8.3 节)。
宏矢量中的矢量得分是宏矢量中严重性最高的矢量得分减去与其下宏矢量的平均比例距离。
这是通过以下算法获得的。
1. 对于每个环境质量
a. 以当前宏矢量与较低宏矢量之间的差值确定最大评分差值;
-
如果没有较低宏矢量,则以当前宏矢量与较低宏矢量之间的差值确定最大评分差值。
-
如果没有更低的宏矢量,可用距离将设为NaN,并在后续计算中忽略不计。
b. 确定待计分向量与同一宏向量中最高严重性向量的严重性距离
c. 将待计分矢量的严重性距离除以宏矢量的深度,确定距离的比例
d. 最大评分差值乘以距离比例。
2. 计算上述比例距离的平均值3.
3.矢量的得分是宏矢量的得分(即严重程度最高的矢量的得分)减去计算出的平均距离。该分数四舍五入到小数点后一位。
所有宏病毒和相关分数的完整列表可在GitHub 上CVSS v4.0 计算器参考实现中的cvss_lookup.js 文件中找到:
https://github.com/FIRSTdotorg/cvss-v4calculator/blob/main/cvss_lookup.j
天极智库聚焦网络安全相关领域,聚集网络安全职能部门、行业主管部门、科研院所、相关企业和专家学者的力量,组织开展政策研判、事件分析、技术研究、学术交流,为国家网络安全工作提供支撑,增强国家网络空间安全防御能力,提升国家关键信息基础设施安全保障能力和水平。
原文始发于微信公众号(天极智库):【技术探索】《通用漏洞评分系统4.0版规范文档》解析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论