نظام تسجيل نقاط الضعف المشترك

نظام تسجيل نقاط الضعف المشترك (CVSS) هو معيار صناعي مجاني ومفتوح لتقييم شدة الثغرات الأمنية لنظام الكمبيوتر. تحاول CVSS تخصيص درجات الخطورة لنقاط الضعف، مما يسمح للمستجيبين بتحديد أولويات الاستجابات والموارد وفقًا للتهديد. يتم حساب الدرجات بناءً على صيغة تعتمد على عدة مقاييس تقارب سهولة الاستغلال وتأثير الاستغلال. تتراوح الدرجات من 0 إلى 10، حيث تكون 10 هي الأشد. في حين أن الكثيرين يستخدمون فقط نقاط CVSS الأساسية لتحديد الشدة، توجد أيضًا الدرجات الزمنية والبيئية، لعامل توافر عوامل التخفيف ومدى انتشار الأنظمة الضعيفة داخل المؤسسة، على التوالي.

تم إصدار الإصدار الحالي من CVSS (CVSSv3.1) في يونيو 2019.^[1]

التاريخ

أدى البحث الذي أجراه المجلس الاستشاري الوطني للبنية التحتية (NIAC) في 2003/2004 إلى إطلاق الإصدار 1 من CVSS (CVSSv1) في فبراير 2005، بهدف أن يكون «مصممًا لتوفير تصنيفات مفتوحة ومعيار عالمي لشدة نقاط الضعف في البرامج». لم تخضع هذه المسودة الأولية لمراجعة النظراء أو المراجعة من قبل المنظمات الأخرى. في أبريل 2005، اختارت NIAC منتدى فرق الاستجابة للحوادث والأمن (FIRST) لتصبح الوصي على CVSS من أجل التنمية المستقبلية.^[2]

تشير التعليقات الواردة من البائعين الذين يستخدمون CVSSv1 في الإنتاج إلى وجود «مشكلات كبيرة في المسودة الأولية لـ CVSS». بدأ العمل على الإصدار 2 من CVSS (CVSSv2) في أبريل 2005 مع إطلاق المواصفات النهائية في يونيو 2007.^[3]

نتج عن المزيد من التعليقات بدء العمل على الإصدار 3 ^[4] CVSS في عام 2012، وانتهاءً بإصدار CVSSv3.0 في يونيو 2015.^[1]

المصطلح

يقيس تقييم CVSS ثلاثة مجالات اهتمام:

المقاييس الأساسية للصفات الجوهرية للثغرات
المقاييس الزمنية للخصائص التي تتطور على مدى عمر الضعف
المقاييس البيئية لنقاط الضعف التي تعتمد على تطبيق أو بيئة معينة

يتم إنشاء درجة عددية لكل مجموعة من هذه المجموعات المترية. تمثل السلسلة المتجهة (أو ببساطة «المتجه» في CVSSv2) قيم جميع المقاييس ككتلة نصية.

المقاييس الأساسية

الوصول إلى Vector

يوضح ناقل الوصول (AV) كيف يمكن استغلال الثغرة الأمنية.

القيمة	وصف	أحرز هدفا
محلي (L)	يجب أن يمتلك المهاجم وصولًا ماديًا إلى النظام المعرض للخطر (مثل هجمات firewire) أو حساب محلي (مثل هجوم تصعيد الامتياز).	0.395
الشبكة المجاورة (A)	يجب أن يكون للمهاجم حق الوصول إلى مجال البث أو التصادم للنظام المعرض للخطر (على سبيل المثال انتحال ARP وهجمات البلوتوث).	0.646
الشبكة (N)	تعمل الواجهة المعرضة للخطر في الطبقة 3 أو أعلى من مكدس شبكة OSI. غالبًا ما توصف هذه الأنواع من الثغرات الأمنية بأنها قابلة للاستغلال عن بُعد (مثل تجاوز سعة المخزن المؤقت البعيد في خدمة الشبكة)	1.0

تعقيد الوصول

يصف مقياس تعقيد الوصول (AC) مدى سهولة أو صعوبة استغلال الثغرة المكتشفة.

القيمة	وصف	أحرز هدفا
مرتفع (H)	توجد ظروف متخصصة، مثل حالة العرق مع نافذة ضيقة، أو شرط لأساليب الهندسة الاجتماعية التي يمكن أن يلاحظها بسهولة من قبل الأشخاص المطلعين.	0.35
متوسطة (M)	هناك بعض المتطلبات الإضافية للهجوم، مثل تحديد أصل الهجوم، أو مطلب لتشغيل النظام المعرض للهجوم بتكوين غير شائع وغير افتراضي.	0.61
منخفض (L)	لا توجد شروط خاصة لاستغلال الثغرة الأمنية، على سبيل المثال عندما يكون النظام متاحًا لأعداد كبيرة من المستخدمين، أو عندما يكون التكوين الضعيف موجودًا في كل مكان.	0.71

المصادقة

يصف مقياس المصادقة (Au) عدد المرات التي يجب على المهاجم المصادقة على هدف لاستغلاله. لا يشمل (على سبيل المثال) المصادقة على الشبكة من أجل الوصول. بالنسبة للثغرات الأمنية القابلة للاستغلال محليًا، يجب تعيين هذه القيمة فقط إلى فردية أو متعددة إذا كانت المصادقة الإضافية مطلوبة بعد الوصول الأولي.

القيمة	وصف	أحرز هدفا
متعددة (M)	يتطلب استغلال الثغرة الأمنية أن يقوم المهاجم بالمصادقة مرتين أو أكثر، حتى لو تم استخدام نفس بيانات الاعتماد في كل مرة.	0.45
واحد (S)	يجب على المهاجم المصادقة مرة واحدة لاستغلال الثغرة الأمنية.	0.56
لا شيء (N)	لا توجد متطلبات للمهاجم للمصادقة.	0.704

مقاييس التأثير

سرية

يصف مقياس السرية (C) التأثير على سرية البيانات التي يعالجها النظام.

القيمة	وصف	أحرز هدفا
لا شيء (N)	لا يوجد تأثير على سرية النظام.	0.0
جزئي (P)	هناك قدر كبير من الإفصاح عن المعلومات، ولكن نطاق الخسارة مقيد بحيث لا تتوفر جميع البيانات.	0.275
مكتمل (C)	هناك إفشاء كامل للمعلومات، مما يتيح الوصول إلى أي / جميع البيانات الموجودة على النظام. بدلاً من ذلك، يتم الحصول على الوصول إلى بعض المعلومات المقيدة فقط، لكن المعلومات التي تم الكشف عنها تمثل تأثيرًا مباشرًا وخطيرًا.	0.660

النزاهة

يصف مقياس النزاهة (I) التأثير على سلامة النظام المستغل.

القيمة	وصف	أحرز هدفا
لا شيء (N)	لا يوجد تأثير على سلامة النظام.	0.0
جزئي (P)	تعديل بعض البيانات أو ملفات النظام ممكن، لكن نطاق التعديل محدود.	0.275
مكتمل (C)	هناك خسارة كاملة في النزاهة؛ يمكن للمهاجم تعديل أي ملفات أو معلومات على النظام المستهدف.	0.660

التوفر

يصف مقياس التوفر (A) التأثير على توفر النظام المستهدف. تؤثر الهجمات التي تستهلك عرض النطاق الترددي للشبكة أو دورات المعالج أو الذاكرة أو أي موارد أخرى على توفر النظام.

القيمة	وصف	أحرز هدفا
لا شيء (N)	لا يوجد تأثير على توافر النظام.	0.0
جزئي (P)	هناك انخفاض في الأداء أو فقدان بعض الوظائف.	0.275
مكتمل (C)	هناك خسارة كاملة لتوافر المورد المهاجم.	0.660

العمليات الحسابية

تُستخدم هذه المقاييس الستة لحساب قابلية الاستغلال والتأثير على النتائج الفرعية للثغرة. تُستخدم هذه الدرجات الفرعية لحساب النتيجة الأساسية الإجمالية.

${\textsf {Exploitability}}=20\times {\textsf {AccessVector}}\times {\textsf {AttackComplexity}}\times {\textsf {Authentication}}$

${\textsf {Impact}}=10.41\times (1-(1-{\textsf {ConfImpact}})\times (1-{\textsf {IntegImpact}})\times (1-{\textsf {AvailImpact}}))$

$f({\textsf {Impact}})={\begin{cases}0,&{\text{if }}{\textsf {Impact}}{\text{ = 0}}\\1.176,&{\text{otherwise }}\end{cases}}$

${\textsf {BaseScore}}={\textsf {roundTo1Decimal}}(((0.6\times {\textsf {Impact}})+(0.4\times {\textsf {Exploitability}})-1.5)\times f({\textsf {Impact}}))$

المقاييس متسلسلة لإنتاج CVSS Vector للثغرة الأمنية.

مثال

تؤثر ثغرة تجاوز سعة المخزن المؤقت على برنامج خادم الويب الذي يسمح للمستخدم البعيد بالتحكم الجزئي في النظام، بما في ذلك القدرة على التسبب في إيقاف تشغيله:

قياس	القيمة	وصف
الوصول إلى Vector	شبكة الاتصال	يمكن الوصول إلى الثغرة الأمنية من أي شبكة يمكنها الوصول إلى النظام المستهدف - عادةً ما يكون الإنترنت بأكمله
تعقيد الوصول	منخفض	لا توجد متطلبات خاصة للوصول
المصادقة	لا شيء	لا توجد متطلبات للمصادقة من أجل استغلال الثغرة الأمنية
سرية	جزئي	يمكن للمهاجم قراءة بعض الملفات والبيانات الموجودة على النظام
النزاهة	جزئي	يمكن للمهاجم تغيير بعض الملفات والبيانات على النظام
التوفر	اكتمال	يمكن أن يتسبب المهاجم في عدم توفر / عدم استجابة النظام وخدمة الويب عن طريق إيقاف تشغيل النظام

المراجع

^ ^ا ^ب "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. مؤرشف من الأصل في 2020-10-23. اطلع عليه بتاريخ 2015-11-13.
^ "CVSS v1 Archive". First.org, Inc. مؤرشف من الأصل في 2020-09-22. اطلع عليه بتاريخ 2015-11-15.
^ "CVSS v2 History". First.org, Inc. مؤرشف من الأصل في 2020-10-30. اطلع عليه بتاريخ 2015-11-15.
^ "Announcing the CVSS Special Interest Group for CVSS v3 Development". First.org, Inc. مؤرشف من الأصل في 2013-02-17. اطلع عليه بتاريخ 2013-03-02.

روابط خارجية

[cvss3.1-1] ا ^ب "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. مؤرشف من الأصل في 2020-10-23. اطلع عليه بتاريخ 2015-11-13.

[cvssv1-2] "CVSS v1 Archive". First.org, Inc. مؤرشف من الأصل في 2020-09-22. اطلع عليه بتاريخ 2015-11-15.

[cvssv2-3] "CVSS v2 History". First.org, Inc. مؤرشف من الأصل في 2020-10-30. اطلع عليه بتاريخ 2015-11-15.

[cvss3-4] "Announcing the CVSS Special Interest Group for CVSS v3 Development". First.org, Inc. مؤرشف من الأصل في 2013-02-17. اطلع عليه بتاريخ 2013-03-02.

[1]

[2]

[3]

[4]