Общая система оценки уязвимостей (Common Vulnerability Scoring System – CVSS) – это система, которая позволяет осуществлять сравнение уязвимостей программного обеспечения с точки зрения их опасности.
В настоящее время наибольшее распространение в практической деятельности по оценке опасности уязвимостей получила версия 2.0 общей системы оценки уязвимостей.
Система оценки CVSS v2.0 состоит из трех групп метрик (критериев): базовых, временных и контекстных.
Группа базовых метрик (критериев) отражает аспекты опасности уязвимости, влияющие на доступность, целостность и конфиденциальность информации.
Группа временных метрик (критериев) отражает характеристики уязвимости, которые изменяются со временем (подтверждение технических параметров уязвимости, статус исправления уязвимости и доступность технологии эксплуатации), но не зависят от среды функционирования программного обеспечения.
Группа контекстных метрик (критериев) отражает характеристики уязвимости, зависящие от среды функционирования программного обеспечения.
Для осуществления комбинированной оценки уязвимостей по различным группам метрик (критериев) используются базовый, временной и контекстный векторы уязвимости.
Количественная оценка степени опасности уязвимости проводится по результатам анализа базового вектора уязвимости. Временные и контекстные векторы применяются только в тех случаях, когда возникает необходимость уточнения базового вектора.
Базовый вектор уязвимости CVSS v2.0 представляет собой комбинированную информацию о базовых метриках (критериях), представляемую в виде текстовой формализованной записи (строки) и численного значения (оценки).
Базовый вектор уязвимости имеет следующий формат:
AV:X/AC:X/Au:X/C:X/I:X/A:X, где
- AV – метрика (критерий) способа получения доступа нарушителем;
- AC – метрика (критерий) сложности получения доступа нарушителем;
- Au – метрика (критерий) характеристики потребности нарушителя в аутентификации;
- С – метрика (критерий) влияния на конфиденциальность;
- I – метрика (критерий) влияния на целостность;
- A – метрика (критерий) влияния на доступность;
- значение метрики (критерия).
Каждая метрика (критерий) может принимать одно из трёх значений.
Метрика (критерий) AV может принимать следующие значения:
- L – получение физического (локального) доступа к объекту;
- A – получение доступа к объекту из локальной вычислительной сети;
- N – получение доступа к объекту из любой вычислительной сети, связанной с объектом атаки.
Метрика (критерий) AC может принимать следующие значения:
- H – для получения доступа требуется выполнение особых условий (например, повышение привилегий или получение дополнительной информации при помощи методов «социальной инженерии»);
- M – для получения доступа требуется выполнение специальных условий (например, прохождение нестандартной процедуры аутентификации или получение предварительной информации при действиях, приводящих к гарантированному результату);
- L – для получения доступа выполнение специальных условий не требуется (L).
Метрика (критерий) Au может принимать следующие значения:
- N – аутентификация не требуется;
- S – требуется однократная аутентификация;
- M – требуется многократная аутентификация.
Метрика (критерий) C может принимать следующие значения:
- N – не оказывает влияния на конфиденциальность данных;
- P – частичное нарушение конфиденциальности данных;
- C – полное нарушение конфиденциальности данных.
Метрика (критерий) I может принимать следующие значения:
- N – не оказывает влияния на целостность данных;
- P – частичное неправомерное уничтожение или модифицирование данных;
- C – полное неправомерное уничтожение или модифицирование данных.
Метрика (критерий) A может принимать следующие значения:
- N – не оказывает влияния на доступность данных;
- P – кратковременное неправомерное блокирование данных;
- C – долговременное неправомерное блокирование данных.
Численное значение базового вектора уязвимости (базовая оценка) изменяется от 0 до 10.
На основе численного значения базового вектора V уязвимости (базовой оценки) присваиваются один из четырех уровней опасности:
- низкий уровень опасности, если 0,0 ≤ V ≤ 3,9;
- средний уровень опасности, если 4,0 ≤ V ≤ 6,9;
- высокий уровень опасности, если 7,0 ≤ V ≤ 9,9;
- критический уровень опасности, если V = 10,0.
Более подробная информация о CVSS может быть получена на информационном ресурсе группы FIRST https://www.first.org/cvss/v2/guide.