कॉमन वल्नेरेबिलिटी स्कोरिंग सिस्टम

From Vigyanwiki
Revision as of 15:16, 23 May 2023 by Manidh (talk | contribs)

सामान्य भेद्यता स्कोरिंग प्रणाली (सीवीएसएस) कंप्यूटर सुरक्षा भेद्यता (कंप्यूटिंग) की गंभीरता का आकलन करने के लिए स्वतंत्र और विवृत उद्योग मानक है। सीवीएसएस शक्तिहीनियों को गंभीरता स्कोर प्रदान करने का प्रयास करता है, जिससे उत्तरदाताओं को खतरे के अनुसार प्रतिक्रियाओं और संसाधनों को प्राथमिकता देने की अनुमति मिलती है। स्कोर की गणना सूत्र के आधार पर की जाती है जो कई सॉफ्टवेयर मीट्रिक पर निर्भर करता है जो किसी शोषण की आसानी और प्रभाव का अनुमान लगाता है। स्कोर 0 से 10 तक होता है, जिसमें 10 सबसे गंभीर होता है। जबकि कई गंभीरता, लौकिक और पर्यावरणीय स्कोर का निर्धारण करने के लिएएन्यूनात्र सीवीएसएस बेस स्कोर का उपयोग करते हैं, शमन की उपलब्धता और संगठन के भीतर व्यापक रूप से शक्तिहीन प्रणाली क्रमशः उपस्थित हैं।

सीवीएसएस (सीवीएसएसवी3.1) का वर्तमान संस्करण जून 2019 में निरंतर किया गया था।[1]

इतिहास

2003/2004 में राष्ट्रीय अवसंरचना सलाहकार परिषद (एनआईएसी) द्वारा किए गए शोध ने फरवरी 2005 में सीवीएसएस वर्जन 1 (सीवीएसएस v1) को लॉन्च किया।[2] सॉफ़्टवेयर भेद्यताओं की विवृत और सार्वभौमिक मानक गंभीरता रेटिंग प्रदान करने के लिए डिज़ाइन किए जाने के लक्ष्य के साथ हैं। यह प्रारंभिक मसौदा सहकर्मी समीक्षा या अन्य संगठनों द्वारा समीक्षा के अधीन नहीं था। अप्रैल 2005 में, एनआईएसी ने भविष्य के विकास के लिए सीवीएसएस का संरक्षक बनने के लिए घटना प्रतिक्रिया और सुरक्षा टीमों के फोरम का चयन किया।[3][4]

उत्पादन में सीवीएसएस v1 का उपयोग करने वाले विक्रेताओं की प्रतिक्रिया ने सुझाव दिया कि सीवीएसएस के प्रारंभिक मसौदे के साथ महत्वपूर्ण मुद्दे थे। सीवीएसएस संस्करण 2 (सीवीएसएसवी2) पर कार्य अप्रैल 2005 में प्रारंभ हुआ और अंतिम विनिर्देश जून 2007 में प्रारंभ किया गया।[5]

आगे की प्रतिक्रिया के परिणामस्वरूप सीवीएसएस संस्करण 3 पर कार्य प्रारंभ हुआ[6] 2012 में, जून 2015 में निरंतर सीवीएसएसv3.0 के साथ समाप्त किया गया।[2][7]


शब्दावली

सीवीएसएस मूल्यांकन चिंता के तीन क्षेत्रों को मापता है:

1. भेद्यता के आंतरिक गुणों के लिए बेस मेट्रिक्स

2. भेद्यता के जीवनकाल में विकसित होने वाली विशेषताओं के लिए टेम्पोरल मेट्रिक्स

3. शक्तिहीनियों के लिए पर्यावरण मेट्रिक्स जो विशेष कार्यान्वयन या पर्यावरण पर निर्भर करते हैं।

इन मीट्रिक समूहों में से प्रत्येक के लिए संख्यात्मक अंक उत्पन्न होता है। वेक्टर स्ट्रिंग (या सीवीएसएसv2 में एन्यूनात्र वेक्टर), टेक्स्ट के ब्लॉक के रूप में सभी मीट्रिक के मानों का प्रतिनिधित्व करता है।

संस्करण 2

सीवीएसएसv2 के लिए संपूर्ण अधिकारपत्रीकरण फर्स्ट से उपलब्ध है।[8] नीचे सारांश दिया गया है।

बेस मेट्रिक्स

एक्सेस वेक्टर

एक्सेस वेक्टर (एवी) दिखाता है कि भेद्यता का शोषण कैसे किया जा सकता है।

महत्व विवरण अंक
स्थानीय (एल) आक्रमणकारी के निकट या तो शक्तिहीन प्रणाली (जैसे फायरवायर आघात) या स्थानीय खाते (जैसे विशेषाधिकार वृद्धि आघात) तक भौतिक पहुंच होनी चाहिए। 0.395
आसन्न नेटवर्क (ए) आक्रमणकारी के निकट शक्तिहीन प्रणाली के प्रसारण या टक्कर डोमेन तक पहुंच होनी चाहिए (जैसे एआरपी स्पूफिंग, ब्लूटूथ आघात)। 0.646
नेटवर्क (एन) असुरक्षित इंटरफ़ेस ओएसआई नेटवर्क स्टैक की परत 3 या उससे ऊपर पर कार्यकर रहा है। इस प्रकार की शक्तिहीनियों को अधिकांशतः दूरस्थ रूप से शोषक के रूप में वर्णित किया जाता है (उदाहरण के लिए नेटवर्क सेवा में दूरस्थ बफर अतिप्रवाह) 1.0


पहुंच जटिलता

पहुंच जटिलता (एसी) मीट्रिक बताती है कि अनुसंधान गई भेद्यता का लाभ उठाना कितना आसान या कठिन है।

महत्व विवरण अंक
उच्च (एच) विशिष्ट स्थितियाँ उपस्थित हैं, जैसे संकरी खिड़की के साथ दौड़ की स्थिति, या सामाजिक इंजीनियरिंग विधियों की आवश्यकता जो जानकार लोगों द्वारा आसानी से देखी जा सकती है। 0.35
मध्यम (एम) आघात के लिए कुछ अतिरिक्त आवश्यकताएं हैं, जैसे आघात की उत्पत्ति पर सीमा, असामान्य, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ शक्तिहीन प्रणाली के चलने की आवश्यकता। 0.61
न्यून (एल) भेद्यता का दोहन करने के लिए कोई विशेष शर्तें नहीं हैं, जैसे कि जब प्रणाली बड़ी संख्या में उपयोगकर्ताओं के लिए उपलब्ध हो, या असुरक्षित कॉन्फ़िगरेशन सर्वव्यापी हो। 0.71


प्रमाणीकरण

ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब आक्रमणकारी को लक्ष्य का लाभ उठाने के लिए उसे प्रमाणित करना होता है। इसमें (उदाहरण के लिए) पहुँच प्राप्त करने के लिए किसी नेटवर्क का प्रमाणीकरण सम्मिलित नहीं है। स्थानीय रूप से शोषक शक्तिहीनियों के लिए, यह मान मात्र एकल या एकाधिक पर सेट किया जाना चाहिए यदि प्रारंभिक पहुंच के बाद और प्रमाणीकरण की आवश्यकता हो।

महत्व विवरण अंक
ाधिक (एम) भेद्यता के शोषण के लिए आवश्यक है कि आक्रमणकारी दो या अधिक बार प्रमाणित करे, भले ही हर बार समान क्रेडेंशियल्स का उपयोग किया जाए। 0.45
ल (एस) भेद्यता का लाभ उठाने के लिए आक्रमणकारी को बार प्रमाणित करना होगा। 0.56
कोई नहीं (एन) आक्रमणकारी को प्रमाणित करने की कोई आवश्यकता नहीं है। 0.704


प्रभाव मेट्रिक्स

गोपनीयता

गोपनीयता (सी) मीट्रिक प्रणाली द्वारा संसाधित डेटा की गोपनीयता पर प्रभाव का वर्णन करता है।

महत्व विवरण अंक
कोई नहीं (एन) प्रणाली की गोपनीयता पर कोई प्रभाव नहीं पड़ता है। 0.0
आंशिक (पी) जानकारी का अधिक स्पष्ट हुआ है, लेकिन क्षति का परिधि इस प्रकार सीमित है कि सभी डेटा उपलब्ध नहीं हैं। 0.275
पूर्ण (सी) प्रणाली पर किसी भी / सभी डेटा तक पहुंच प्रदान करने के लिए कुल सूचना प्रकटीकरण है। वैकल्पिक रूप से, एन्यूनात्र कुछ प्रतिबंधित जानकारी तक ही पहुंच प्राप्त की जाती है, लेकिन प्रकट की गई जानकारी प्रत्यक्ष, गंभीर प्रभाव प्रस्तुत करती है। 0.660


ईमानदारी

सत्यनिष्ठा (I) मीट्रिक शोषित प्रणाली की अखंडता पर प्रभाव का वर्णन करता है।

महत्व विवरण अंक
कोई नहीं (एन) प्रणाली की अखंडता पर कोई प्रभाव नहीं पड़ता है। 0.0
आंशिक (पी) कुछ डेटा या प्रणाली फ़ाइलों का संशोधन संभव है, लेकिन संशोधन का परिधि सीमित है। 0.275
पूर्ण (सी) अखंडता का कुल क्षति होता है; आक्रमणकारी लक्ष्य प्रणाली पर किसी भी फाइल या सूचना को संशोधित कर सकता है। 0.660


उपलब्धता

उपलब्धता (ए) मीट्रिक लक्ष्य प्रणाली की उपलब्धता पर प्रभाव का वर्णन करती है। आघात जो नेटवर्क बैंडविड्थ, प्रोसेसर चक्र, मेमोरी या किसी अन्य संसाधन का उपभोग करते हैं, प्रणाली की उपलब्धता को प्रभावित करते हैं।

महत्व विवरण अंक
कोई नहीं (एन) प्रणाली की उपलब्धता पर कोई प्रभाव नहीं पड़ता है। 0.0
आंशिक (पी) प्रदर्शन न्यून हो गया है या कुछ कार्यक्षमता का क्षति हुआ है। 0.275
पूर्ण (सी) हमला किए गए संसाधन की उपलब्धता का कुल क्षति हुआ है। 0.660


गणना

इन छह मेट्रिक्स का उपयोग शोषण क्षमता की गणना करने और भेद्यता के उप-स्कोर को प्रभावित करने के लिए किया जाता है। इन उप-स्कोरों का उपयोग समग्र आधार स्कोर की गणना के लिए किया जाता है।

भेद्यता के लिए सीवीएसएस वेक्टर बनाने के लिए मेट्रिक्स को जोड़ा गया है।

उदाहरण

बफर ओवरफ्लो भेद्यता वेब सर्वर सॉफ़्टवेयर को प्रभावित करती है जो दूरस्थ उपयोगकर्ता को प्रणाली का आंशिक नियंत्रण प्राप्त करने की अनुमति देती है, जिसमें इसे संवृत करने की क्षमता भी सम्मिलित है:

Metric महत्व विवरण
एक्सेस वेक्टर नेटवर्क भेद्यता को किसी भी नेटवर्क से एक्सेस किया जा सकता है जो लक्ष्य प्रणाली तक पहुंच सकता है - सामान्यतः संपूर्ण इंटरनेट
एक्सेस जटिलता न्यून पहुँच के लिए कोई विशेष आवश्यकताएँ नहीं हैं
प्रमाणीकरण कोई नहीं भेद्यता का लाभ उठाने के लिए प्रमाणीकरण की कोई आवश्यकता नहीं है
गोपनीयता आंशिक आक्रमणकारी प्रणाली पर उपस्थित कुछ फाइलों और डेटा को पढ़ सकता है
अखंडता आंशिक आक्रमणकारी प्रणाली पर कुछ फाइलों और डेटा को बदल सकता है
उपलब्धता पूर्ण आक्रमणकारी प्रणाली को संवृत करके प्रणाली और वेब सेवा को अनुपलब्ध / अनुत्तरदायी बना सकता है

यह 9.0 का समग्र आधार स्कोर देते हुए 10 का शोषक उप-स्कोर और 8.5 का प्रभाव उप-स्कोर देगा।

इस स्थिति में बेस स्कोर के लिए वेक्टर AV:N/AC:L/Au:N/C:P/I:P/A:C होगा। स्कोर और वेक्टर सामान्यतः साथ प्रस्तुत किए जाते हैं जिससे कि प्राप्तकर्ता भेद्यता की प्रकृति को पूरी प्रकार से समझ सके और यदि आवश्यक हो तो अपने स्वयं के पर्यावरण स्कोर की गणना कर सके।

टेम्पोरल मेट्रिक्स

टेम्पोरल मेट्रिक्स का मूल्य भेद्यता के जीवनकाल में बदल जाता है, क्योंकि शोषण विकसित, सारांश और स्वचालित होता है और जैसे ही शमन और सुधार उपलब्ध होते हैं।

शोषणशीलता

शोषण क्षमता (ई) मीट्रिक शोषण तकनीकों या स्वचालित शोषण कोड की वर्तमान स्थिति का वर्णन करती है।

महत्व विवरण अंक
अप्रमाणित (यू) कोई शोषण कोड उपलब्ध नहीं है, या शोषण सैद्धांतिक है 0.85
प्रमाण की अवधारणा (पी) प्रूफ-ऑफ-कॉन्सेप्ट शोषण कोड या प्रदर्शन आघात उपलब्ध हैं, लेकिन व्यापक उपयोग के लिए व्यावहारिक नहीं हैं। भेद्यता के सभी उदाहरणों के विरुद्ध कार्यशील नहीं है। 0.9
कार्यात्मक (एफ) कार्यात्मक शोषण कोड उपलब्ध है, और ज्यादातर स्थितियों में कार्यकरता है जहां भेद्यता उपस्थित है। 0.95
उच्च (एच) मोबाइल कोड (जैसे कीड़ा या वायरस) सहित स्वचालित कोड द्वारा भेद्यता का लाभ उठाया जा सकता है। 1.0
परिभाषित नहीं (एनडी) यह इस स्कोर को उपेक्षित करने का संकेत है। 1.0


उपचारात्मक स्तर

भेद्यता का सुधारात्मक स्तर (आरएल) भेद्यता के अस्थायी स्कोर को न्यून करने की अनुमति देता है क्योंकि शमन और आधिकारिक सुधार उपलब्ध कराए जाते हैं।

महत्व विवरण अंक
आधिकारिक फिक्स (ओ) पूर्ण विक्रेता समाधान उपलब्ध है - या तो पैच या अपग्रेड। 0.87
अस्थायी सुधार (टी) विक्रेता से आधिकारिक लेकिन अस्थायी सुधार/शमन उपलब्ध है। 0.90
समाधान (डब्ल्यू) अनौपचारिक, गैर-विक्रेता समाधान या शमन उपलब्ध है - शायद प्रभावित उत्पाद या किसी अन्य तृतीय पक्ष के उपयोगकर्ताओं द्वारा विकसित या सुझाया गया हो। 0.95
अनुपलब्ध (यू) कोई समाधान उपलब्ध नहीं है, या सुझाए गए समाधान को प्रारम्भ करना असंभव है। जब भेद्यता की पहचान की जाती है तो यह उपचारात्मक स्तर की सामान्य प्रारंभिक स्थिति होती है। 1.0
परिभाषित नहीं (एनडी) यह इस स्कोर को उपेक्षित करने का संकेत है। 1.0


रिपोर्ट विश्वास

भेद्यता की रिपोर्ट विश्वास (आरसी) भेद्यता के अस्तित्व में विश्वास के स्तर को मापता है और भेद्यता के तकनीकी विवरण की विश्वसनीयता को भी मापता है।

मूल्य विवरण अंक
अपुष्ट (यूसी) अपुष्ट स्रोत, परस्पर विरोधी स्रोत। अफवाह भेद्यता। 0.9
असंपुष्ट (यूआर) कई स्रोत जो व्यापक रूप से सहमत हैं - भेद्यता के बारे में शेष अनिश्चितता का स्तर हो सकता है 0.95
पुष्टि (सी) प्रभावित उत्पाद के विक्रेता या निर्माता द्वारा स्वीकार और पुष्टि की गई। 1.0
परिभाषित नहीं (एनडी) यह इस स्कोर को उपेक्षित करने का संकेत है। 1.0


गणना

इन तीन मेट्रिक्स का उपयोग बेस स्कोर के संयोजन के साथ किया जाता है जिसकी गणना पूर्व से ही संबंधित वेक्टर के साथ भेद्यता के लिए अस्थायी स्कोर बनाने के लिए की जाती है।

लौकिक स्कोर की गणना करने के लिए प्रयुक्त सूत्र है:


उदाहरण

ऊपर दिए गए उदाहरण के साथ निरंतर रखने के लिए, यदि विक्रेता को पहली बार मेलिंग सूची में प्रूफ-ऑफ़-कॉन्सेप्ट कोड पोस्ट करके भेद्यता के बारे में सूचित किया गया था, तो प्रारंभिक टेम्पोरल स्कोर की गणना नीचे दिखाए गए मानों का उपयोग करके की जाएगी:

Metric महत्व विवरण
शोषण अवधारणा का प्रमाण बुनियादी शोषण की कार्यक्षमता दिखाने के लिए प्रूफ-ऑफ अवधारणा, गैर-स्वचालित कोड प्रदान किया जाता है।
उपचारात्मक स्तर अनुपलब्ध विक्रेता को अभी तक शमन प्रदान करने या उचित करने का अवसर नहीं मिला है।
विश्वास की रिपोर्ट करें अपुष्ट भेद्यता की ही रिपोर्ट की गई है

यह E:P/RL:U/RC:UC (या AV:N/AC:L/Au:N/C:P/I:P का पूर्ण वेक्टर) के अस्थायी वेक्टर के साथ 7.3 का अस्थायी स्कोर देगा। /ए:सी/ई:पी/आरएल:यू/आरसी:यूसी).

यदि विक्रेता भेद्यता की पुष्टि करता है, तो ई: पी / आरएल: यू / आरसी: सी के अस्थायी वेक्टर के साथ स्कोर 8.1 तक बढ़ जाता है।

वेंडर की ओर से अस्थायी फिक्स स्कोर को वापस 7.3 (E:P/RL:T/RC:C) तक न्यून कर देगा, जबकि आधिकारिक फिक्स इसे और घटाकर 7.0 (E:P/RL:O/RC:C) कर देगा। चूंकि यह सुनिश्चित करना संभव नहीं है कि प्रत्येक प्रभावित प्रणाली को उचित कर दिया गया है पैच कर दिया गया है, अस्थायी स्कोर विक्रेता के कार्यों के आधार पर निश्चित स्तर से न्यून नहीं हो सकता है, और यदि भेद्यता के लिए स्वचालित शोषण विकसित किया जाता है तो यह बढ़ सकता है।

पर्यावरण मेट्रिक्स

पर्यावरण मेट्रिक्स आधार और वर्तमान अस्थायी स्कोर का उपयोग शक्तिहीन उत्पाद या सॉफ़्टवेयर को नियुक्त करने की विधि के संदर्भ में भेद्यता की गंभीरता का आकलन करने के लिए करते हैं। इस उपाय की गणना व्यक्तिपरक रूप से की जाती है, सामान्यतःप्रभावित पक्षों द्वारा।

संपार्श्विक क्षति संभावित

संपार्श्विक क्षति क्षमता (सीडीपी) मीट्रिक भौतिक संपत्ति जैसे उपकरण (और जीवन) पर संभावित क्षति या प्रभाव को मापता है, यदि भेद्यता का शोषण किया जाता है तो प्रभावित संगठन पर वित्तीय प्रभाव पड़ता है।

महत्व विवरण अंक
कोई नहीं (एन) संपत्ति, राजस्व या उत्पादकता के क्षति की कोई संभावना नहीं है 0
न्यून (एल) संपत्ति को थोड़ा क्षति, या राजस्व या उत्पादकता का सामान्य क्षति 0.1
निम्न-मध्यम (एलएम) मध्यम क्षति या हानि 0.3
मध्यम-उच्च (एमएच) महत्वपूर्ण क्षति या हानि 0.4
उच्च (एच) विपत्तिपूर्ण क्षति या हानि 0.5
परिभाषित नहीं (एनडी) यह इस स्कोर को उपेक्षित करने का संकेत है। 0


लक्ष्य वितरण

लक्ष्य वितरण (टीडी) मीट्रिक पर्यावरण में शक्तिहीन प्रणालियों के अनुपात को मापता है।

महत्व विवरण अंक
कोई नहीं (एन) कोई लक्ष्य प्रणाली उपस्थित नहीं है, वे एन्यूनात्र प्रयोगशाला सेटिंग में उपस्थित हैं 0
न्यून (एल) 1-25% प्रणाली जोखिम में हैं 0.25
मध्यम (एम) 26–75% प्रणाली जोखिम में हैं 0.75
उच्च (एच) 76-100% प्रणाली जोखिम में हैं 1.0
परिभाषित नहीं (एनडी) यह इस स्कोर को उपेक्षित करने का संकेत है। 1.0


इम्पैक्ट सब्सकोर संशोधक

तीन और मेट्रिक्स गोपनीयता (सीआर),अखंडता (आईआर) और उपलब्धता (एआर) के लिए विशिष्ट सुरक्षा आवश्यकताओं का आकलन करते हैं, जिससे पर्यावरण स्कोर को उपयोगकर्ताओं के पर्यावरण के अनुसार किया जा सकता है।

महत्व विवरण अंक
न्यून (एल) (गोपनीयता/अखंडता/उपलब्धता) की हानि का संगठन पर एन्यूनात्र सीमित प्रभाव पड़ने की संभावना है। 0.5
मध्यम (एम) (गोपनीयता/अखंडता/उपलब्धता) की हानि का संगठन पर गंभीर प्रभाव पड़ने की संभावना है। 1.0
उच्च (एच) (गोपनीयता/अखंडता/उपलब्धता) की हानि का संगठन पर विपत्तिपूर्ण प्रभाव पड़ने की संभावना है। 1.51
परिभाषित नहीं (एनडी) यह इस स्कोर को उपेक्षित करने का संकेत है। 1.0


गणना

पर्यावरण स्कोर की गणना करने और संबंधित पर्यावरण वेक्टर का उत्पादन करने के लिए पांच पर्यावरण मेट्रिक्स का उपयोग पूर्व से मूल्यांकन किए गए आधार और लौकिक मेट्रिक्स के संयोजन के साथ किया जाता है।


उदाहरण

यदि उपरोक्त असुरक्षित वेब सर्वर का उपयोग किसी बैंक द्वारा ऑनलाइन बैंकिंग सेवाएं प्रदान करने के लिए किया गया था, और विक्रेता से अस्थायी सुधार उपलब्ध था, तो पर्यावरण स्कोर का मूल्यांकन इस प्रकार किया जा सकता है:

मीट्रिक महत्व विवरण
संपार्श्विक क्षति संभावित मध्यम ऊँचाई यह मान इस बात पर निर्भर करेगा कि यदि शक्तिहीन प्रणाली का शोषण किया जाता है तो आक्रमणकारी किस सूचना तक पहुँच प्राप्त कर सकता है। इस स्थिति में, मैं मान रहा हूं कि कुछ व्यक्तिगत बैंकिंग जानकारी उपलब्ध है, इसलिए बैंक पर महत्वपूर्ण प्रतिष्ठात्मक प्रभाव है।
लक्ष्य वितरण उच्च बैंक के सभी वेब सर्वर असुरक्षित सॉफ़्टवेयर चलाते हैं।
गोपनीयता की आवश्यकता उच्च ग्राहक अपेक्षा करते हैं कि उनकी बैंकिंग जानकारी गोपनीय होगी।
अखंडता की आवश्यकता उच्च प्राधिकरण के बिना वित्तीय और व्यक्तिगत जानकारी बदलने योग्य नहीं होनी चाहिए।
उपलब्धता की आवश्यकता न्यून ऑनलाइन बैंकिंग सेवाओं की अनुपलब्धता से ग्राहकों को असुविधा हो सकती है, लेकिन विनाशकारी नहीं।

यह 8.2 का पर्यावरण स्कोर और सीडीपी:एमएच/टीडी:एच/सीआर:एच/आईआर:एच/एआर:एल का पर्यावरण वेक्टर देगा। यह स्कोर 7.0-10.0 की सीमा के भीतर है, और इसलिए प्रभावित बैंक के व्यवसाय के संदर्भ में महत्वपूर्ण भेद्यता है।

संस्करण 2 की आलोचना

कई विक्रेताओं और संगठनों ने सीवीएसएसv2 के प्रति असंतोष व्यक्त किया।

जोखिम आधारित सुरक्षा, जो ओपन सोर्स वल्नरेबिलिटी डेटाबेस का प्रबंधन करती है, और ओपन सिक्योरिटी फाउंडेशन ने संयुक्त रूप से सीवीएसएसv2 की न्यूनियों और विफलताओं के बारे में फर्स्ट को सार्वजनिक पत्र प्रकाशित किया।[9] लेखकों ने कई मेट्रिक्स में ग्रैन्युलैरिटी की कमी का उदाहरण दिया, जिसके परिणामस्वरूप सीवीएसएस वैक्टर और स्कोर हैं जो विभिन्न प्रकार और जोखिम प्रोफाइल की शक्तिहीनियों को उचित से भिन्न नहीं करते हैं। सीवीएसएस स्कोरिंग प्रणाली को भेद्यता के त्रुटिहीन प्रभाव के बारे में बहुत अधिक ज्ञान की आवश्यकता के रूप में भी नोट किया गया था।

आधिकारिक सीवीएसएस विनिर्देशों में आंशिक और पूर्ण के मध्य विवरण में कथित अंतराल को भरने के लिए ओरेकल ने गोपनीयता, अखंडता और उपलब्धता के लिए आंशिक + का नया मीट्रिक मूल्य प्रस्तुत किया।[10]

संस्करण 3

इनमें से कुछ आलोचनाओं को दूर करने के लिए, सीवीएसएस संस्करण 3 का विकास 2012 में प्रारंभ किया गया था। अंतिम विनिर्देश को सीवीएसएस v3.0 नाम दिया गया था और जून 2015 में निरंतर किया गया था। विशिष्टता अधिकारपत्र के अतिरिक्त, उपयोगकर्ता मार्ग और उदाहरण अधिकारपत्र भी निरंतर किए गए थे।[11]

कई मेट्रिक्स परिवर्तन गए, जोड़े गए और हटाए गए। 0-10 की उपस्थिता स्कोरिंग सीमा को बनाए रखते हुए नए मेट्रिक्स को सम्मिलित करने के लिए संख्यात्मक सूत्र अपडेट किए गए थे। कोई नहीं (0), न्यून (0.1-3.9), मध्यम (4.0-6.9), उच्च (7.0-8.9), और गंभीर (9.0-10.0) की शाब्दिक गंभीरता रेटिंग[12] को परिभाषित किया गया था, एनवीडी के लिए परिभाषित श्रेणियों के समान सीवीएसएस वी2 जो उस मानक का भाग नहीं थे .[13]

संस्करण 2 से परिवर्तन

बेस मेट्रिक्स

बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को शक्तिहीनियों को भिन्न करने में सहायता करने के लिए जोड़ा गया था, जिसके लिए यूजर इंटरेक्शन या यूजर या एडमिनिस्ट्रेटर विशेषाधिकारों का लाभ उठाना अनिवार्य था। पूर्व, ये अवधारणाएँ सीवीएसएसv2 के एक्सेस वेक्टर मीट्रिक का भाग थीं। बेस वेक्टर ने नए स्कोप (एस) मीट्रिक की प्रारंभिक भी देखी, जिसे यह स्पष्ट करने के लिए डिज़ाइन किया गया था कि किन शक्तिहीनियों का लाभ उठाया जा सकता है और फिर प्रणाली या नेटवर्क के अन्य भागों पर हमला करने के लिए उपयोग किया जाता है। ये नए मेट्रिक्स बेस वेक्टर को मूल्यांकन की जा रही भेद्यता के प्रकार को अधिक स्पष्ट रूप से व्यक्त करने की अनुमति देते हैं।

गोपनीयता, अखंडता और उपलब्धता (C, I, A) मेट्रिक्स को सीवीएसएसv2 के आंशिक, पूर्ण के स्थान पर कोई नहीं, न्यून, या उच्च स्कोर वाले स्कोर के लिए अद्यतन किया गया था। यह सीआईए मेट्रिक्स पर भेद्यता के प्रभाव को निर्धारित करने में अधिक लचीलेपन की अनुमति देता है।

एक्सेस कॉम्प्लेक्सिटी का नाम बदलकर अटैक कॉम्प्लेक्सिटी (एसी) कर दिया गया जिससे कि यह स्पष्ट किया जा सके कि एक्सेस विशेषाधिकारों को भिन्न मीट्रिक में ले जाया गया था। यह मीट्रिक अब वर्णन करता है कि इस भेद्यता का दोहराए जाने योग्य शोषण कैसे हो सकता है; एसी उच्च है यदि आक्रमणकारी को सही समय या अन्य परिस्थितियों की आवश्यकता होती है (उपयोगकर्ता बातचीत के अतिरिक्त, जो भिन्न मीट्रिक भी है) जिसे भविष्य के प्रयासों पर आसानी से दोहराया नहीं जा सकता है।

अटैक वेक्टर (एवी) ने उन शक्तिहीनियों का वर्णन करने के लिए भौतिक (पी) के नए मीट्रिक मूल्य को सम्मिलित किया, जिन्हें प्रदर्शन करने के लिए डिवाइस या प्रणाली तक भौतिक पहुंच की आवश्यकता होती है।

टेम्पोरल मेट्रिक्स

टेम्पोरल मेट्रिक्स सीवीएसएसv2 से अनिवार्य रूप से अपरिवर्तित थे।

पर्यावरण मेट्रिक्स

सीवीएसएसv2 के पर्यावरणीय मेट्रिक्स को पूरी प्रकार से हटा दिया गया और अनिवार्य रूप से दूसरे बेस स्कोर के साथ बदल दिया गया, जिसे संशोधित वेक्टर के रूप में जाना जाता है। संशोधित आधार का उद्देश्य समग्र रूप से दुनिया की समानता में किसी संगठन या कंपनी के भीतर अंतर को दर्शाना है। विशिष्ट वातावरण में गोपनीयता, अखंडता और उपलब्धता के महत्व को पकड़ने के लिए नए मेट्रिक्स जोड़े गए है।

संस्करण 3 की आलोचना

सितंबर 2015 में ब्लॉग पोस्ट में, प्रमाणपत्र समन्वय केंद्र ने सीवीएसएसv2 और सीवीएसएसv3.0 की सीमाओं पर चर्चा की, जिसका उपयोग इंटरनेट ऑफ थिंग्स जैसी उभरती प्रौद्योगिकी प्रणालियों में शक्तिहीनियों को स्कोर करने में किया जाता है।[14]

संस्करण 3.1

सीवीएसएस के लिए साधारण अपडेट 17 जून, 2019 को निरंतर किया गया था। सीवीएसएस संस्करण 3.1 का लक्ष्य नए मेट्रिक्स या मीट्रिक मूल्यों को प्रस्तुत किए बिना उपस्थिता सीवीएसएस संस्करण 3.0 मानक को स्पष्ट करना और सुधारना था, जिससे दोनों स्कोरिंग द्वारा नए मानक को घर्षण रहित अपनाने की अनुमति मिलती है। प्रदाताओं और उपभोक्ताओं को समान रूप से स्कोर करना। सीवीएसएस मानक में सुधार करते समय प्रयोज्यता प्रमुख विचार था। सीवीएसएस v3.1 में किए जा रहे कई बदलाव सीवीएसएस v3.0 में प्रस्तुत की गई अवधारणाओं की स्पष्टता में सुधार करने के लिए हैं, और इस प्रकार मानक के उपयोग में समग्र आसानी में सुधार करते हैं।

फर्स्ट ने पिछले 15 वर्षों और उसके बाद विकसित की जा रही शक्तिहीनियों, उत्पादों और प्लेटफार्मों पर अधिक से अधिक प्रारम्भ होने के लिए सीवीएसएस को बढ़ाने और परिष्कृत करने के लिए उद्योग विषय-विशेषज्ञों से इनपुट का उपयोग किया है। सीवीएसएस का प्राथमिक लक्ष्य कई भिन्न-भिन्न निर्वाचन क्षेत्रों में भेद्यता की गंभीरता को स्कोर करने के लिए नियतात्मक और दोहराने योग्य विधि प्रदान करना है, जिससे सीवीएसएस के उपभोक्ता इस स्कोर को जोखिम, उपचार और शमन के बड़े निर्णय मैट्रिक्स के इनपुट के रूप में उपयोग कर सकते हैं। विशेष वातावरण और जोखिम सहिष्णुता होते है।

सीवीएसएस संस्करण 3.1 विनिर्देश के अपडेट में परिभाषाओं का स्पष्टीकरण और उपस्थिता बेस मेट्रिक्स जैसे अटैक वेक्टर, विशेषाधिकार आवश्यक, स्कोप और सुरक्षा आवश्यकताएं सम्मिलित हैं। सीवीएसएस के विस्तार की नई मानक विधि, जिसे सीवीएसएस एक्सटेंशन फ्रेमवर्क कहा जाता है, को भी परिभाषित किया गया था, जिससे स्कोरिंग प्रदाता को आधिकारिक आधार, टेम्पोरल और पर्यावरण मेट्रिक्स को बनाए रखते हुए अतिरिक्त मेट्रिक्स और मीट्रिक समूहों को सम्मिलित करने की अनुमति मिलती है। अतिरिक्त मेट्रिक्स उद्योग क्षेत्रों जैसे कि गोपनीयता, सुरक्षा, मोटर वाहन, स्वास्थ्य देखभाल आदि को कोर सीवीएसएस मानक के बाहर के कारकों को स्कोर करने की अनुमति देते हैं। अंत में, सीवीएसएस शब्दावली को सीवीएसएस संस्करण 3.1 प्रलेखन में प्रयुक्त सभी शब्दों को सम्मिलित करने के लिए विस्तारित और परिष्कृत किया गया है।

दत्तक ग्रहण

सीवीएसएस के संस्करणों को संगठनों और कंपनियों की विस्तृत श्रृंखला द्वारा शक्तिहीनियों की गंभीरता को मापने के लिए प्राथमिक विधि के रूप में अपनाया गया है, जिनमें निम्न सम्मिलित हैं:

यह भी देखें

  • सामान्य शक्तिहीनी गणना (सीडब्ल्यूई)
  • सामान्य भेद्यताएं और जोखिम (सीवीई)
  • आम हमला पैटर्न गणना और वर्गीकरण (सीएपीईसी)

संदर्भ

  1. "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. Retrieved November 13, 2015.
  2. 2.0 2.1 Johnson, Pontus; Lagerstrom, Robert; Ekstedt, Mathias; Franke, Ulrik (2018-11-01). "Can the Common Vulnerability Scoring System be Trusted? A Bayesian Analysis". IEEE Transactions on Dependable and Secure Computing. 15 (6): 1002–1015. doi:10.1109/TDSC.2016.2644614. ISSN 1545-5971. S2CID 53287880.
  3. "सीवीएसएस v1 आर्काइव". First.org, Inc. Retrieved 2015-11-15.
  4. "NATIONAL INFRASTRUCTURE ADVISORY COUNCIL / MEETING AGENDA / Tuesday, April 12, 2005 / 1:30-4:30 p.m. / National Press Club / Washington, DC" (PDF). Cybersecurity and Infrastructure Security Agency. 2005-04-12. Retrieved 2022-07-18. MITRE and CERT/CC both bring distinct but important value. Based on those proposals, the Working Group strongly suggests that these organizations work under the umbrella provided by Global FIRST for the CVSS.
  5. "CVSS v2 History". First.org, Inc. Retrieved 2015-11-15.
  6. "Announcing the CVSS Special Interest Group for CVSS v3 Development". First.org, Inc. Archived from the original on February 17, 2013. Retrieved March 2, 2013.
  7. "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. Retrieved November 13, 2015.
  8. "सीवीएसएस v2 पूर्ण दस्तावेज़ीकरण". First.org, Inc. Retrieved 2015-11-15.
  9. {{cite web|url=http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf |title=सीवीएसएस - कमियां, दोष और असफलताएं|publisher=Risk Based Security |date=2013-02-27 |accessdate=2015-11-15}
  10. "सीवीएसएस स्कोरिंग सिस्टम". Oracle. 2010-06-01. Retrieved 2015-11-15.
  11. "CVSS v3,.0 विशिष्टता दस्तावेज़". FIRST, Inc. Retrieved 2015-11-15.
  12. "सामान्य भेद्यता स्कोरिंग सिस्टम v3.0: विशिष्टता दस्तावेज़ (गुणात्मक गंभीरता रेटिंग स्केल)". First.org. Retrieved 2016-01-10.
  13. "NVD सामान्य भेद्यता स्कोरिंग सिस्टम समर्थन v2". National Vulnerability Database. National Institute of Standards and Technology. Retrieved March 2, 2013.
  14. "सीवीएसएस और इंटरनेट ऑफ थिंग्स". CERT Coordination Center. 2015-09-02. Retrieved 2015-11-15.
  15. "राष्ट्रीय भेद्यता डेटाबेस होम". Nvd.nist.gov. Retrieved 2013-04-16.
  16. "ओपन सोर्स भेद्यता डेटाबेस". OSVDB. Retrieved 2013-04-16.
  17. "सीवीएसएस का उपयोग कर भेद्यता गंभीरता". CERT Coordination Center. 2012-04-12. Retrieved 2015-11-15.


बाहरी संबंध