कॉमन वल्नेरेबिलिटी स्कोरिंग सिस्टम
सामान्य भेद्यता स्कोरिंग सिस्टम (सीवीएसएस) कंप्यूटर सुरक्षा भेद्यता (कंप्यूटिंग) की गंभीरता का आकलन करने के लिए स्वतंत्र और विवृत उद्योग मानक है। सीवीएसएस कमजोरियों को गंभीरता स्कोर प्रदान करने का प्रयास करता है, जिससे उत्तरदाताओं को खतरे के अनुसार प्रतिक्रियाओं और संसाधनों को प्राथमिकता देने की अनुमति मिलती है। स्कोर की गणना सूत्र के आधार पर की जाती है जो कई सॉफ्टवेयर मीट्रिक पर निर्भर करता है जो किसी शोषण की आसानी और प्रभाव का अनुमान लगाता है। स्कोर 0 से 10 तक होता है, जिसमें 10 सबसे गंभीर होता है। जबकि कई गंभीरता, लौकिक और पर्यावरणीय स्कोर का निर्धारण करने के लिएएन्यूनात्र सीवीएसएस बेस स्कोर का उपयोग करते हैं, शमन की उपलब्धता और संगठन के भीतर व्यापक रूप से कमजोर प्रणाली क्रमशः उपस्थित हैं।
सीवीएसएस (सीवीएसएसवी3.1) का वर्तमान संस्करण जून 2019 में निरंतर किया गया था।[1]
इतिहास
2003/2004 में राष्ट्रीय अवसंरचना सलाहकार परिषद (NIAC) द्वारा किए गए शोध ने फरवरी 2005 में CVSS वर्जन 1 (CVSSv1) को लॉन्च किया।[2] सॉफ़्टवेयर भेद्यताओं की विवृत और सार्वभौमिक मानक गंभीरता रेटिंग प्रदान करने के लिए डिज़ाइन किए जाने के लक्ष्य के साथ। यह प्रारंभिक मसौदा सहकर्मी समीक्षा या अन्य संगठनों द्वारा समीक्षा के अधीन नहीं था। अप्रैल 2005 में, NIAC ने भविष्य के विकास के लिए CVSS का संरक्षक बनने के लिए घटना प्रतिक्रिया और सुरक्षा टीमों के फोरम (Forum_of_Incident_Response_and_Security_Teams) का चयन किया।[3][4] उत्पादन में CVSSv1 का उपयोग करने वाले विक्रेताओं की प्रतिक्रिया ने सुझाव दिया कि CVSS के प्रारंभिक मसौदे के साथ महत्वपूर्ण मुद्दे थे। सीवीएसएस संस्करण 2 (सीवीएसएसवी2) पर काम अप्रैल 2005 में शुरू हुआ और अंतिम विनिर्देश जून 2007 में शुरू किया गया।[5] आगे की प्रतिक्रिया के परिणामस्वरूप CVSS संस्करण 3 पर काम शुरू हुआ[6] 2012 में, जून 2015 में जारी CVSSv3.0 के साथ समाप्त।[2][7]
शब्दावली
सीवीएसएस मूल्यांकन चिंता के तीन क्षेत्रों को मापता है: भेद्यता के आंतरिक गुणों के लिए #बेस मेट्रिक्स
- टेम्पोरल मेट्रिक्स उन विशेषताओं के लिए जो भेद्यता के जीवनकाल में विकसित होती हैं
न्यूनजोरियों के लिए #पर्यावरण मेट्रिक्स जो विशेष कार्यान्वयन या पर्यावरण पर निर्भर करते हैं
इन मीट्रिक समूहों में से प्रत्येक के लिए संख्यात्मक अंक उत्पन्न होता है। वेक्टर स्ट्रिंग (या CVSSv2 मेंएन्यूनात्र वेक्टर), टेक्स्ट के ब्लॉक के रूप में सभी मीट्रिक के मानों का प्रतिनिधित्व करता है।
संस्करण 2
CVSSv2 के लिए संपूर्ण दस्तावेज़ीकरण FIRST से उपलब्ध है।[8] नीचे सारांश दिया गया है।
बेस मेट्रिक्स
्सेस वेक्टर
्सेस वेक्टर (एवी) दिखाता है कि भेद्यता का शोषण कैसे किया जा सकता है।
महत्व | विवरण | अंक |
---|---|---|
स्थानीय (एल) | हमलावर के निकट या तो न्यूनजोर प्रणाली (जैसे फायरवायर हमले) या स्थानीय खाते (जैसे विशेषाधिकार वृद्धि हमला) तक भौतिक पहुंच होनी चाहिए। | 0.395 |
आसन्न नेटवर्क (ए) | हमलावर के निकट न्यूनजोर सिस्टम के प्रसारण या टक्कर डोमेन तक पहुंच होनी चाहिए (जैसे एआरपी स्पूफिंग, ब्लूटूथ हमले)। | 0.646 |
नेटवर्क (एन) | असुरक्षित इंटरफ़ेस OSI नेटवर्क स्टैक की परत 3 या उससे ऊपर पर काम कर रहा है। इस प्रकार की न्यूनजोरियों को अक्सर दूरस्थ रूप से शोषक के रूप में वर्णित किया जाता है (उदाहरण के लिए नेटवर्क सेवा में दूरस्थ बफर अतिप्रवाह) | 1.0 |
पहुंच जटिलता
पहुंच जटिलता (एसी) मीट्रिक बताती है कि खोजी गई भेद्यता का लाभ उठाना कितना आसान या कठिन है।
महत्व | विवरण | अंक |
---|---|---|
उच्च (एच) | विशिष्ट स्थितियाँ उपस्थित हैं, जैसे संकरी खिड़की के साथ दौड़ की स्थिति, या सामाजिक इंजीनियरिंग विधियों की आवश्यकता जो जानकार लोगों द्वारा आसानी से देखी जा सकती है। | 0.35 |
मध्यम (एम) | हमले के लिए कुछ अतिरिक्त आवश्यकताएं हैं, जैसे हमले की उत्पत्ति पर सीमा, या असामान्य, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ न्यूनजोर प्रणाली के चलने की आवश्यकता। | 0.61 |
न्यून (एल) | भेद्यता का दोहन करने के लिए कोई विशेष शर्तें नहीं हैं, जैसे कि जब सिस्टम बड़ी संख्या में उपयोगकर्ताओं के लिए उपलब्ध हो, या असुरक्षित कॉन्फ़िगरेशन सर्वव्यापी हो। | 0.71 |
प्रमाणीकरण
ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब हमलावर को लक्ष्य का लाभ उठाने के लिए उसे प्रमाणित करना होता है। इसमें (उदाहरण के लिए) पहुँच प्राप्त करने के लिए किसी नेटवर्क का प्रमाणीकरण सम्मिलित नहीं है। स्थानीय रूप से शोषक न्यूनजोरियों के लिए, यह मानएन्यूनात्र ल या ाधिक पर सेट किया जाना चाहिए यदि प्रारंभिक पहुंच के बाद और प्रमाणीकरण की आवश्यकता हो।
महत्व | विवरण | अंक |
---|---|---|
ाधिक (एम) | भेद्यता के शोषण के लिए आवश्यक है कि हमलावर दो या अधिक बार प्रमाणित करे, भले ही हर बार समान क्रेडेंशियल्स का उपयोग किया जाए। | 0.45 |
ल (एस) | भेद्यता का लाभ उठाने के लिए हमलावर को बार प्रमाणित करना होगा। | 0.56 |
कोई नहीं (एन) | हमलावर को प्रमाणित करने की कोई आवश्यकता नहीं है। | 0.704 |
प्रभाव मेट्रिक्स
गोपनीयता
गोपनीयता (सी) मीट्रिक सिस्टम द्वारा संसाधित डेटा की गोपनीयता पर प्रभाव का वर्णन करता है।
महत्व | विवरण | अंक |
---|---|---|
कोई नहीं (एन) | सिस्टम की गोपनीयता पर कोई प्रभाव नहीं पड़ता है। | 0.0 |
आंशिक (पी) | जानकारी का काफी खुलासा हुआ है, लेकिन नुकसान का दायरा इस तरह सीमित है कि सभी डेटा उपलब्ध नहीं हैं। | 0.275 |
पूर्ण (सी) | सिस्टम पर किसी भी / सभी डेटा तक पहुंच प्रदान करने के लिए कुल सूचना प्रकटीकरण है। वैकल्पिक रूप से,एन्यूनात्र कुछ प्रतिबंधित जानकारी तक ही पहुंच प्राप्त की जाती है, लेकिन प्रकट की गई जानकारी प्रत्यक्ष, गंभीर प्रभाव प्रस्तुत करती है। | 0.660 |
ईमानदारी
सत्यनिष्ठा (I) मीट्रिक शोषित प्रणाली की अखंडता पर प्रभाव का वर्णन करता है।
महत्व | विवरण | अंक |
---|---|---|
कोई नहीं (एन) | सिस्टम की अखंडता पर कोई प्रभाव नहीं पड़ता है। | 0.0 |
आंशिक (पी) | कुछ डेटा या सिस्टम फ़ाइलों का संशोधन संभव है, लेकिन संशोधन का दायरा सीमित है। | 0.275 |
पूर्ण (सी) | अखंडता का कुल नुकसान होता है; हमलावर लक्ष्य प्रणाली पर किसी भी फाइल या सूचना को संशोधित कर सकता है। | 0.660 |
उपलब्धता
उपलब्धता (ए) मीट्रिक लक्ष्य प्रणाली की उपलब्धता पर प्रभाव का वर्णन करती है। हमले जो नेटवर्क बैंडविड्थ, प्रोसेसर चक्र, मेमोरी या किसी अन्य संसाधन का उपभोग करते हैं, सिस्टम की उपलब्धता को प्रभावित करते हैं।
महत्व | विवरण | अंक |
---|---|---|
कोई नहीं (एन) | सिस्टम की उपलब्धता पर कोई प्रभाव नहीं पड़ता है। | 0.0 |
आंशिक (पी) | प्रदर्शन न्यून हो गया है या कुछ कार्यक्षमता का नुकसान हुआ है। | 0.275 |
पूर्ण (सी) | हमला किए गए संसाधन की उपलब्धता का कुल नुकसान हुआ है। | 0.660 |
गणना
इन छह मेट्रिक्स का उपयोग शोषण क्षमता की गणना करने और भेद्यता के उप-स्कोर को प्रभावित करने के लिए किया जाता है। इन उप-स्कोरों का उपयोग समग्र आधार स्कोर की गणना के लिए किया जाता है।
भेद्यता के लिए CVSS वेक्टर बनाने के लिए मेट्रिक्स को जोड़ा गया है।
उदाहरण
बफर ओवरफ्लो भेद्यता वेब सर्वर सॉफ़्टवेयर को प्रभावित करती है जो दूरस्थ उपयोगकर्ता को सिस्टम का आंशिक नियंत्रण प्राप्त करने की अनुमति देती है, जिसमें इसे बंद करने की क्षमता भी सम्मिलित है:
Metric | महत्व | विवरण |
---|---|---|
्सेस वेक्टर | नेटवर्क | भेद्यता को किसी भी नेटवर्क से ्सेस किया जा सकता है जो लक्ष्य प्रणाली तक पहुंच सकता है - सामान्यतः संपूर्ण इंटरनेट |
्सेस जटिलता | न्यून | पहुँच के लिए कोई विशेष आवश्यकताएँ नहीं हैं |
प्रमाणीकरण | कोई नहीं | भेद्यता का लाभ उठाने के लिए प्रमाणीकरण की कोई आवश्यकता नहीं है |
गोपनीयता | आंशिक | हमलावर सिस्टम पर उपस्थित कुछ फाइलों और डेटा को पढ़ सकता है |
अखंडता | आंशिक | हमलावर सिस्टम पर कुछ फाइलों और डेटा को बदल सकता है |
उपलब्धता | पूर्ण | हमलावर सिस्टम को बंद करके सिस्टम और वेब सेवा को अनुपलब्ध / अनुत्तरदायी बना सकता है |
यह 9.0 का समग्र आधार स्कोर देते हुए 10 का शोषक उप-स्कोर और 8.5 का प्रभाव उप-स्कोर देगा। इस मामले में बेस स्कोर के लिए वेक्टर AV:N/AC:L/Au:N/C:P/I:P/A:C होगा। स्कोर और वेक्टर आम तौर पर साथ प्रस्तुत किए जाते हैं ताकि प्राप्तकर्ता भेद्यता की प्रकृति को पूरी तरह से समझ सके और यदि आवश्यक हो तो अपने स्वयं के पर्यावरण स्कोर की गणना कर सके।
टेम्पोरल मेट्रिक्स
टेम्पोरल मेट्रिक्स का मूल्य भेद्यता के जीवनकाल में बदल जाता है, क्योंकि शोषण विकसित, खुलासा और स्वचालित होता है और जैसे ही शमन और सुधार उपलब्ध होते हैं।
शोषणशीलता
शोषण क्षमता (ई) मीट्रिक शोषण तकनीकों या स्वचालित शोषण कोड की वर्तमान स्थिति का वर्णन करती है।
महत्व | विवरण | अंक |
---|---|---|
अप्रमाणित (यू) | कोई शोषण कोड उपलब्ध नहीं है, या शोषण सैद्धांतिक है | 0.85 |
सबूत की अवधारणा (पी) | प्रूफ-ऑफ-कॉन्सेप्ट शोषण कोड या प्रदर्शन हमले उपलब्ध हैं, लेकिन व्यापक उपयोग के लिए व्यावहारिक नहीं हैं। भेद्यता के सभी उदाहरणों के विरुद्ध कार्यशील नहीं है। | 0.9 |
कार्यात्मक (एफ) | कार्यात्मक शोषण कोड उपलब्ध है, और ज्यादातर स्थितियों में काम करता है जहां भेद्यता उपस्थित है। | 0.95 |
उच्च (एच) | मोबाइल कोड (जैसे कीड़ा या वायरस) सहित स्वचालित कोड द्वारा भेद्यता का लाभ उठाया जा सकता है। | 1.0 |
परिभाषित नहीं (एनडी) | यह इस स्कोर को अनदेखा करने का संकेत है। | 1.0 |
उपचारात्मक स्तर
भेद्यता का सुधारात्मक स्तर (आरएल) भेद्यता के अस्थायी स्कोर को न्यून करने की अनुमति देता है क्योंकि शमन और आधिकारिक सुधार उपलब्ध कराए जाते हैं।
महत्व | विवरण | अंक |
---|---|---|
आधिकारिक फिक्स (ओ) | पूर्ण विक्रेता समाधान उपलब्ध है - या तो पैच या अपग्रेड। | 0.87 |
अस्थायी सुधार (टी) | विक्रेता से आधिकारिक लेकिन अस्थायी सुधार/शमन उपलब्ध है। | 0.90 |
समाधान (डब्ल्यू) | अनौपचारिक, गैर-विक्रेता समाधान या शमन उपलब्ध है - शायद प्रभावित उत्पाद या किसी अन्य तृतीय पक्ष के उपयोगकर्ताओं द्वारा विकसित या सुझाया गया हो। | 0.95 |
अनुपलब्ध (यू) | कोई समाधान उपलब्ध नहीं है, या सुझाए गए समाधान को प्रारम्भ करना असंभव है। जब भेद्यता की पहचान की जाती है तो यह उपचारात्मक स्तर की सामान्य प्रारंभिक स्थिति होती है। | 1.0 |
परिभाषित नहीं (एनडी) | यह इस स्कोर को अनदेखा करने का संकेत है। | 1.0 |
रिपोर्ट विश्वास
भेद्यता की रिपोर्ट विश्वास (आरसी) भेद्यता के अस्तित्व में विश्वास के स्तर को मापता है और भेद्यता के तकनीकी विवरण की विश्वसनीयता को भी मापता है।
मूल्य | विवरण | अंक |
---|---|---|
अपुष्ट (यूसी) | अपुष्ट स्रोत, या ाधिक परस्पर विरोधी स्रोत। अफवाह भेद्यता। | 0.9 |
असंपुष्ट (यूआर) | कई स्रोत जो व्यापक रूप से सहमत हैं - भेद्यता के बारे में शेष अनिश्चितता का स्तर हो सकता है | 0.95 |
पुष्टि (सी) | प्रभावित उत्पाद के विक्रेता या निर्माता द्वारा स्वीकार और पुष्टि की गई। | 1.0 |
परिभाषित नहीं (एनडी) | यह इस स्कोर को अनदेखा करने का संकेत है। | 1.0 |
गणना
इन तीन मेट्रिक्स का उपयोग बेस स्कोर के संयोजन के साथ किया जाता है जिसकी गणना पहले से ही संबंधित वेक्टर के साथ भेद्यता के लिए अस्थायी स्कोर बनाने के लिए की जाती है।
लौकिक स्कोर की गणना करने के लिए प्रयुक्त सूत्र है:
उदाहरण
ऊपर दिए गए उदाहरण के साथ जारी रखने के लिए, यदि विक्रेता को पहली बार मेलिंग सूची में प्रूफ-ऑफ़-कॉन्सेप्ट कोड पोस्ट करके भेद्यता के बारे में सूचित किया गया था, तो प्रारंभिक टेम्पोरल स्कोर की गणना नीचे दिखाए गए मानों का उपयोग करके की जाएगी:
Metric | महत्व | विवरण |
---|---|---|
शोषण | अवधारणा का सबूत | बुनियादी शोषण की कार्यक्षमता दिखाने के लिए प्रूफ-ऑफ अवधारणा, गैर-स्वचालित कोड प्रदान किया जाता है। |
उपचारात्मक स्तर | अनुपलब्ध | विक्रेता को अभी तक शमन प्रदान करने या ठीक करने का अवसर नहीं मिला है। |
विश्वास की रिपोर्ट करें | अपुष्ट | भेद्यता की ही रिपोर्ट की गई है |
यह E:P/RL:U/RC:UC (या AV:N/AC:L/Au:N/C:P/I:P का पूर्ण वेक्टर) के अस्थायी वेक्टर के साथ 7.3 का अस्थायी स्कोर देगा। /ए:सी/ई:पी/आरएल:यू/आरसी:यूसी).
यदि विक्रेता भेद्यता की पुष्टि करता है, तो ई: पी / आरएल: यू / आरसी: सी के अस्थायी वेक्टर के साथ स्कोर 8.1 तक बढ़ जाता है।
वेंडर की ओर से अस्थायी फिक्स स्कोर को वापस 7.3 (E:P/RL:T/RC:C) तक न्यून कर देगा, जबकि आधिकारिक फिक्स इसे और घटाकर 7.0 (E:P/RL:O/RC:C) कर देगा। . चूंकि यह सुनिश्चित करना संभव नहीं है कि प्रत्येक प्रभावित प्रणाली को ठीक कर दिया गया है या पैच कर दिया गया है, अस्थायी स्कोर विक्रेता के कार्यों के आधार पर निश्चित स्तर से न्यून नहीं हो सकता है, और यदि भेद्यता के लिए स्वचालित शोषण विकसित किया जाता है तो यह बढ़ सकता है।
पर्यावरण मेट्रिक्स
पर्यावरण मेट्रिक्स आधार और वर्तमान अस्थायी स्कोर का उपयोग न्यूनजोर उत्पाद या सॉफ़्टवेयर को तैनात करने के तरीके के संदर्भ में भेद्यता की गंभीरता का आकलन करने के लिए करते हैं। इस उपाय की गणना व्यक्तिपरक रूप से की जाती है, सामान्यतःप्रभावित पक्षों द्वारा।
संपार्श्विक क्षति संभावित
संपार्श्विक क्षति क्षमता (सीडीपी) मीट्रिक भौतिक संपत्ति जैसे उपकरण (और जीवन) पर संभावित नुकसान या प्रभाव को मापता है, या यदि भेद्यता का शोषण किया जाता है तो प्रभावित संगठन पर वित्तीय प्रभाव पड़ता है।
महत्व | विवरण | अंक |
---|---|---|
कोई नहीं (एन) | संपत्ति, राजस्व या उत्पादकता के नुकसान की कोई संभावना नहीं है | 0 |
न्यून (एल) | संपत्ति को थोड़ा नुकसान, या राजस्व या उत्पादकता का मामूली नुकसान | 0.1 |
निम्न-मध्यम (एलएम) | मध्यम क्षति या हानि | 0.3 |
मध्यम-उच्च (एमएच) | महत्वपूर्ण क्षति या हानि | 0.4 |
उच्च (एच) | विपत्तिपूर्ण क्षति या हानि | 0.5 |
परिभाषित नहीं (एनडी) | यह इस स्कोर को अनदेखा करने का संकेत है। | 0 |
लक्ष्य वितरण
लक्ष्य वितरण (टीडी) मीट्रिक पर्यावरण में न्यूनजोर प्रणालियों के अनुपात को मापता है।
महत्व | विवरण | अंक |
---|---|---|
कोई नहीं (एन) | कोई लक्ष्य प्रणाली उपस्थित नहीं है, वे एन्यूनात्र प्रयोगशाला सेटिंग में उपस्थित हैं | 0 |
न्यून (एल) | 1-25% सिस्टम जोखिम में हैं | 0.25 |
मध्यम (एम) | 26–75% सिस्टम जोखिम में हैं | 0.75 |
उच्च (एच) | 76-100% सिस्टम जोखिम में हैं | 1.0 |
परिभाषित नहीं (एनडी) | यह इस स्कोर को अनदेखा करने का संकेत है। | 1.0 |
इम्पैक्ट सब्सकोर संशोधक
तीन और मेट्रिक्स गोपनीयता (सीआर), अखंडता (आईआर) और उपलब्धता (एआर) के लिए विशिष्ट सुरक्षा आवश्यकताओं का आकलन करते हैं, जिससे पर्यावरण स्कोर को उपयोगकर्ताओं के पर्यावरण के अनुसार ठीक-ठाक किया जा सकता है।
महत्व | विवरण | अंक |
---|---|---|
न्यून (एल) | (गोपनीयता/अखंडता/उपलब्धता) की हानि का संगठन परएन्यूनात्र सीमित प्रभाव पड़ने की संभावना है। | 0.5 |
मध्यम (एम) | (गोपनीयता/अखंडता/उपलब्धता) की हानि का संगठन पर गंभीर प्रभाव पड़ने की संभावना है। | 1.0 |
उच्च (एच) | (गोपनीयता/अखंडता/उपलब्धता) की हानि का संगठन पर विपत्तिपूर्ण प्रभाव पड़ने की संभावना है। | 1.51 |
परिभाषित नहीं (एनडी) | यह इस स्कोर को अनदेखा करने का संकेत है। | 1.0 |
गणना
पर्यावरण स्कोर की गणना करने और संबंधित पर्यावरण वेक्टर का उत्पादन करने के लिए पांच पर्यावरण मेट्रिक्स का उपयोग पहले से मूल्यांकन किए गए आधार और लौकिक मेट्रिक्स के संयोजन के साथ किया जाता है।
उदाहरण
यदि उपरोक्त असुरक्षित वेब सर्वर का उपयोग किसी बैंक द्वारा ऑनलाइन बैंकिंग सेवाएं प्रदान करने के लिए किया गया था, और विक्रेता से अस्थायी सुधार उपलब्ध था, तो पर्यावरण स्कोर का मूल्यांकन इस प्रकार किया जा सकता है:
मीट्रिक | महत्व | विवरण |
---|---|---|
संपार्श्विक क्षति संभावित | मध्यम ऊँचाई | यह मान इस बात पर निर्भर करेगा कि यदि न्यूनजोर प्रणाली का शोषण किया जाता है तो हमलावर किस सूचना तक पहुँच प्राप्त कर सकता है। इस मामले में मैं मान रहा हूं कि कुछ व्यक्तिगत बैंकिंग जानकारी उपलब्ध है, इसलिए बैंक पर महत्वपूर्ण प्रतिष्ठात्मक प्रभाव है। |
लक्ष्य वितरण | उच्च | बैंक के सभी वेब सर्वर असुरक्षित सॉफ़्टवेयर चलाते हैं। |
गोपनीयता की आवश्यकता | उच्च | ग्राहक उम्मीद करते हैं कि उनकी बैंकिंग जानकारी गोपनीय होगी। |
अखंडता की आवश्यकता | उच्च | प्राधिकरण के बिना वित्तीय और व्यक्तिगत जानकारी बदलने योग्य नहीं होनी चाहिए। |
उपलब्धता की आवश्यकता | न्यून | ऑनलाइन बैंकिंग सेवाओं की अनुपलब्धता से ग्राहकों को असुविधा हो सकती है, लेकिन विनाशकारी नहीं। |
यह 8.2 का पर्यावरण स्कोर और सीडीपी:एमएच/टीडी:एच/सीआर:एच/आईआर:एच/एआर:एल का पर्यावरण वेक्टर देगा। यह स्कोर 7.0-10.0 की सीमा के भीतर है, और इसलिए प्रभावित बैंक के व्यवसाय के संदर्भ में महत्वपूर्ण भेद्यता है।
===संस्करण 2=== की आलोचना कई विक्रेताओं और संगठनों ने CVSSv2 के प्रति असंतोष व्यक्त किया।
जोखिम आधारित सुरक्षा, जो ओपन सोर्स वल्नरेबिलिटी डेटाबेस का प्रबंधन करती है, और ओपन सिक्योरिटी फाउंडेशन ने संयुक्त रूप से CVSSv2 की न्यूनियों और विफलताओं के बारे में FIRST को सार्वजनिक पत्र प्रकाशित किया।[9] लेखकों ने कई मेट्रिक्स में ग्रैन्युलैरिटी की न्यूनी का हवाला दिया, जिसके परिणामस्वरूप CVSS वैक्टर और स्कोर हैं जो विभिन्न प्रकार और जोखिम प्रोफाइल की न्यूनजोरियों को ठीक से अलग नहीं करते हैं। सीवीएसएस स्कोरिंग सिस्टम को भेद्यता के सटीक प्रभाव के बारे में बहुत अधिक ज्ञान की आवश्यकता के रूप में भी नोट किया गया था।
आधिकारिक सीवीएसएस विनिर्देशों में आंशिक और पूर्ण के बीच विवरण में कथित अंतराल को भरने के लिए ओरेकल ने गोपनीयता, अखंडता और उपलब्धता के लिए आंशिक + का नया मीट्रिक मूल्य पेश किया।[10]
संस्करण 3
इनमें से कुछ आलोचनाओं को दूर करने के लिए, CVSS संस्करण 3 का विकास 2012 में शुरू किया गया था। अंतिम विनिर्देश को CVSS v3.0 नाम दिया गया था और जून 2015 में जारी किया गया था। विशिष्टता दस्तावेज़ के अलावा, उपयोगकर्ता गाइड और उदाहरण दस्तावेज़ भी जारी किए गए थे।[11]
कई मेट्रिक्स बदले गए, जोड़े गए और हटाए गए। 0-10 की उपस्थिता स्कोरिंग सीमा को बनाए रखते हुए नए मेट्रिक्स को सम्मिलित करने के लिए संख्यात्मक सूत्र अपडेट किए गए थे। कोई नहीं (0), न्यून (0.1-3.9), मध्यम (4.0-6.9), उच्च (7.0-8.9), और गंभीर (9.0-10.0) की शाब्दिक गंभीरता रेटिंग[12] को परिभाषित किया गया था, सीवीएसएस v2 के लिए परिभाषित एनवीडी श्रेणियों के समान जो उस मानक का हिस्सा नहीं थे .[13]
संस्करण 2 से परिवर्तन
बेस मेट्रिक्स
बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को न्यूनजोरियों को अलग करने में मदद करने के लिए जोड़ा गया था, जिसके लिए यूजर इंटरेक्शन या यूजर या एडमिनिस्ट्रेटर विशेषाधिकारों का लाभ उठाना जरूरी था। पहले, ये अवधारणाएँ CVSSv2 के ्सेस वेक्टर मीट्रिक का हिस्सा थीं। बेस वेक्टर ने नए स्कोप (एस) मीट्रिक की शुरूआत भी देखी, जिसे यह स्पष्ट करने के लिए डिज़ाइन किया गया था कि किन न्यूनजोरियों का लाभ उठाया जा सकता है और फिर सिस्टम या नेटवर्क के अन्य भागों पर हमला करने के लिए उपयोग किया जाता है। ये नए मेट्रिक्स बेस वेक्टर को मूल्यांकन की जा रही भेद्यता के प्रकार को अधिक स्पष्ट रूप से व्यक्त करने की अनुमति देते हैं।
गोपनीयता, अखंडता और उपलब्धता (C, I, A) मेट्रिक्स को CVSSv2 के आंशिक, पूर्ण के बजाय कोई नहीं, न्यून, या उच्च स्कोर वाले स्कोर के लिए अद्यतन किया गया था। यह CIA मेट्रिक्स पर भेद्यता के प्रभाव को निर्धारित करने में अधिक लचीलेपन की अनुमति देता है।
्सेस कॉम्प्लेक्सिटी का नाम बदलकर अटैक कॉम्प्लेक्सिटी (एसी) कर दिया गया ताकि यह स्पष्ट किया जा सके कि ्सेस विशेषाधिकारों को अलग मीट्रिक में ले जाया गया था। यह मीट्रिक अब वर्णन करता है कि इस भेद्यता का दोहराए जाने योग्य शोषण कैसे हो सकता है; एसी उच्च है अगर हमलावर को सही समय या अन्य परिस्थितियों की आवश्यकता होती है (उपयोगकर्ता बातचीत के अलावा, जो अलग मीट्रिक भी है) जिसे भविष्य के प्रयासों पर आसानी से दोहराया नहीं जा सकता है।
अटैक वेक्टर (एवी) ने उन न्यूनजोरियों का वर्णन करने के लिए भौतिक (पी) के नए मीट्रिक मूल्य को सम्मिलित किया, जिन्हें प्रदर्शन करने के लिए डिवाइस या सिस्टम तक भौतिक पहुंच की आवश्यकता होती है।
टेम्पोरल मेट्रिक्स === टेम्पोरल मेट्रिक्स CVSSv2 से अनिवार्य रूप से अपरिवर्तित थे।
पर्यावरण मेट्रिक्स
CVSSv2 के पर्यावरणीय मेट्रिक्स को पूरी तरह से हटा दिया गया और अनिवार्य रूप से दूसरे बेस स्कोर के साथ बदल दिया गया, जिसे संशोधित वेक्टर के रूप में जाना जाता है। संशोधित आधार का उद्देश्य समग्र रूप से दुनिया की तुलना में किसी संगठन या कंपनी के भीतर अंतर को दर्शाना है। विशिष्ट वातावरण में गोपनीयता, अखंडता और उपलब्धता के महत्व को पकड़ने के लिए नए मेट्रिक्स जोड़े गए।
संस्करण 3 की आलोचना
सितंबर 2015 में ब्लॉग पोस्ट में, CERT समन्वय केंद्र ने CVSSv2 और CVSSv3.0 की सीमाओं पर चर्चा की, जिसका उपयोग इंटरनेट ऑफ थिंग्स जैसी उभरती प्रौद्योगिकी प्रणालियों में न्यूनजोरियों को स्कोर करने में किया जाता है।[14]
संस्करण 3.1
CVSS के लिए मामूली अपडेट 17 जून, 2019 को जारी किया गया था। CVSS संस्करण 3.1 का लक्ष्य नए मेट्रिक्स या मीट्रिक मूल्यों को पेश किए बिना उपस्थिता CVSS संस्करण 3.0 मानक को स्पष्ट करना और सुधारना था, जिससे दोनों स्कोरिंग द्वारा नए मानक को घर्षण रहित अपनाने की अनुमति मिलती है। प्रदाताओं और उपभोक्ताओं को समान रूप से स्कोर करना। सीवीएसएस मानक में सुधार करते समय प्रयोज्यता प्रमुख विचार था। CVSS v3.1 में किए जा रहे कई बदलाव CVSS v3.0 में पेश की गई अवधारणाओं की स्पष्टता में सुधार करने के लिए हैं, और इस तरह मानक के उपयोग में समग्र आसानी में सुधार करते हैं।
FIRST ने पिछले 15 वर्षों और उसके बाद विकसित की जा रही न्यूनजोरियों, उत्पादों और प्लेटफार्मों पर अधिक से अधिक प्रारम्भ होने के लिए CVSS को बढ़ाने और परिष्कृत करने के लिए उद्योग विषय-विशेषज्ञों से इनपुट का उपयोग किया है। सीवीएसएस का प्राथमिक लक्ष्य कई अलग-अलग निर्वाचन क्षेत्रों में भेद्यता की गंभीरता को स्कोर करने के लिए नियतात्मक और दोहराने योग्य तरीका प्रदान करना है, जिससे सीवीएसएस के उपभोक्ता इस स्कोर को जोखिम, उपचार और शमन के बड़े निर्णय मैट्रिक्स के इनपुट के रूप में उपयोग कर सकते हैं। विशेष वातावरण और जोखिम सहिष्णुता।
सीवीएसएस संस्करण 3.1 विनिर्देश के अपडेट में परिभाषाओं का स्पष्टीकरण और उपस्थिता बेस मेट्रिक्स जैसे अटैक वेक्टर, विशेषाधिकार आवश्यक, स्कोप और सुरक्षा आवश्यकताएं सम्मिलित हैं। CVSS के विस्तार की नई मानक विधि, जिसे CVSS ्सटेंशन फ्रेमवर्क कहा जाता है, को भी परिभाषित किया गया था, जिससे स्कोरिंग प्रदाता को आधिकारिक आधार, टेम्पोरल और पर्यावरण मेट्रिक्स को बनाए रखते हुए अतिरिक्त मेट्रिक्स और मीट्रिक समूहों को सम्मिलित करने की अनुमति मिलती है। अतिरिक्त मेट्रिक्स उद्योग क्षेत्रों जैसे कि गोपनीयता, सुरक्षा, मोटर वाहन, स्वास्थ्य देखभाल आदि को कोर सीवीएसएस मानक के बाहर के कारकों को स्कोर करने की अनुमति देते हैं। अंत में, सीवीएसएस शब्दावली को सीवीएसएस संस्करण 3.1 प्रलेखन में प्रयुक्त सभी शब्दों को सम्मिलित करने के लिए विस्तारित और परिष्कृत किया गया है।
दत्तक ग्रहण
सीवीएसएस के संस्करणों को संगठनों और कंपनियों की विस्तृत श्रृंखला द्वारा न्यूनजोरियों की गंभीरता को मापने के लिए प्राथमिक विधि के रूप में अपनाया गया है, जिनमें निम्न सम्मिलित हैं:
- राष्ट्रीय भेद्यता डेटाबेस | राष्ट्रीय भेद्यता डेटाबेस (एनवीडी)[15]
- ओपन सोर्स भेद्यता डेटाबेस | ओपन सोर्स भेद्यता डेटाबेस (OSVDB)[16]
- सीईआरटी समन्वय केंद्र,[17] जो विशेष रूप से CVSSv2 बेस, टेम्पोरल और एनवायरनमेंटल मेट्रिक्स का उपयोग करता है
यह भी देखें
- सामान्य न्यूनजोरी गणना (सीडब्ल्यूई)
- सामान्य भेद्यताएं और जोखिम (सीवीई)
- आम हमला पैटर्न गणना और वर्गीकरण (सीएपीईसी)
संदर्भ
- ↑ "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. Retrieved November 13, 2015.
- ↑ 2.0 2.1 Johnson, Pontus; Lagerstrom, Robert; Ekstedt, Mathias; Franke, Ulrik (2018-11-01). "Can the Common Vulnerability Scoring System be Trusted? A Bayesian Analysis". IEEE Transactions on Dependable and Secure Computing. 15 (6): 1002–1015. doi:10.1109/TDSC.2016.2644614. ISSN 1545-5971. S2CID 53287880.
- ↑ "सीवीएसएस v1 आर्काइव". First.org, Inc. Retrieved 2015-11-15.
- ↑ "NATIONAL INFRASTRUCTURE ADVISORY COUNCIL / MEETING AGENDA / Tuesday, April 12, 2005 / 1:30-4:30 p.m. / National Press Club / Washington, DC" (PDF). Cybersecurity and Infrastructure Security Agency. 2005-04-12. Retrieved 2022-07-18.
MITRE and CERT/CC both bring distinct but important value. Based on those proposals, the Working Group strongly suggests that these organizations work under the umbrella provided by Global FIRST for the CVSS.
- ↑ "CVSS v2 History". First.org, Inc. Retrieved 2015-11-15.
- ↑ "Announcing the CVSS Special Interest Group for CVSS v3 Development". First.org, Inc. Archived from the original on February 17, 2013. Retrieved March 2, 2013.
- ↑ "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. Retrieved November 13, 2015.
- ↑ "सीवीएसएस v2 पूर्ण दस्तावेज़ीकरण". First.org, Inc. Retrieved 2015-11-15.
- ↑ {{cite web|url=http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf |title=सीवीएसएस - कमियां, दोष और असफलताएं|publisher=Risk Based Security |date=2013-02-27 |accessdate=2015-11-15}
- ↑ "सीवीएसएस स्कोरिंग सिस्टम". Oracle. 2010-06-01. Retrieved 2015-11-15.
- ↑ "CVSS v3,.0 विशिष्टता दस्तावेज़". FIRST, Inc. Retrieved 2015-11-15.
- ↑ "सामान्य भेद्यता स्कोरिंग सिस्टम v3.0: विशिष्टता दस्तावेज़ (गुणात्मक गंभीरता रेटिंग स्केल)". First.org. Retrieved 2016-01-10.
- ↑ "NVD सामान्य भेद्यता स्कोरिंग सिस्टम समर्थन v2". National Vulnerability Database. National Institute of Standards and Technology. Retrieved March 2, 2013.
- ↑ "सीवीएसएस और इंटरनेट ऑफ थिंग्स". CERT Coordination Center. 2015-09-02. Retrieved 2015-11-15.
- ↑ "राष्ट्रीय भेद्यता डेटाबेस होम". Nvd.nist.gov. Retrieved 2013-04-16.
- ↑ "ओपन सोर्स भेद्यता डेटाबेस". OSVDB. Retrieved 2013-04-16.
- ↑ "सीवीएसएस का उपयोग कर भेद्यता गंभीरता". CERT Coordination Center. 2012-04-12. Retrieved 2015-11-15.