कॉमन वल्नेरेबिलिटी स्कोरिंग सिस्टम
सामान्य भेद्यता स्कोरिंग सिस्टम (सीवीएसएस) कंप्यूटर सुरक्षा भेद्यता (कंप्यूटिंग) की गंभीरता का आकलन करने के लिए एक स्वतंत्र और खुला मानक तकनीकी मानक है। सीवीएसएस कमजोरियों को गंभीरता स्कोर प्रदान करने का प्रयास करता है, जिससे उत्तरदाताओं को खतरे के अनुसार प्रतिक्रियाओं और संसाधनों को प्राथमिकता देने की अनुमति मिलती है। स्कोर की गणना एक सूत्र के आधार पर की जाती है जो कई सॉफ्टवेयर मीट्रिक पर निर्भर करता है जो किसी शोषण की आसानी और प्रभाव का अनुमान लगाता है। स्कोर 0 से 10 तक होता है, जिसमें 10 सबसे गंभीर होता है। जबकि कई गंभीरता, लौकिक और पर्यावरणीय स्कोर का निर्धारण करने के लिए केवल सीवीएसएस बेस स्कोर का उपयोग करते हैं, शमन की उपलब्धता और एक संगठन के भीतर व्यापक रूप से कमजोर प्रणाली क्रमशः मौजूद हैं।
CVSS (CVSSv3.1) का वर्तमान संस्करण जून 2019 में जारी किया गया था।[1]
इतिहास
2003/2004 में राष्ट्रीय अवसंरचना सलाहकार परिषद (NIAC) द्वारा किए गए शोध ने फरवरी 2005 में CVSS वर्जन 1 (CVSSv1) को लॉन्च किया।[2] सॉफ़्टवेयर भेद्यताओं की खुली और सार्वभौमिक मानक गंभीरता रेटिंग प्रदान करने के लिए डिज़ाइन किए जाने के लक्ष्य के साथ। यह प्रारंभिक मसौदा सहकर्मी समीक्षा या अन्य संगठनों द्वारा समीक्षा के अधीन नहीं था। अप्रैल 2005 में, NIAC ने भविष्य के विकास के लिए CVSS का संरक्षक बनने के लिए घटना प्रतिक्रिया और सुरक्षा टीमों के फोरम (Forum_of_Incident_Response_and_Security_Teams) का चयन किया।[3][4] उत्पादन में CVSSv1 का उपयोग करने वाले विक्रेताओं की प्रतिक्रिया ने सुझाव दिया कि CVSS के प्रारंभिक मसौदे के साथ महत्वपूर्ण मुद्दे थे। सीवीएसएस संस्करण 2 (सीवीएसएसवी2) पर काम अप्रैल 2005 में शुरू हुआ और अंतिम विनिर्देश जून 2007 में शुरू किया गया।[5] आगे की प्रतिक्रिया के परिणामस्वरूप CVSS संस्करण 3 पर काम शुरू हुआ[6] 2012 में, जून 2015 में जारी CVSSv3.0 के साथ समाप्त।[2][7]
शब्दावली
सीवीएसएस मूल्यांकन चिंता के तीन क्षेत्रों को मापता है: भेद्यता के आंतरिक गुणों के लिए #बेस मेट्रिक्स
- टेम्पोरल मेट्रिक्स उन विशेषताओं के लिए जो भेद्यता के जीवनकाल में विकसित होती हैं
कमजोरियों के लिए #पर्यावरण मेट्रिक्स जो एक विशेष कार्यान्वयन या पर्यावरण पर निर्भर करते हैं
इन मीट्रिक समूहों में से प्रत्येक के लिए एक संख्यात्मक अंक उत्पन्न होता है। एक वेक्टर स्ट्रिंग (या CVSSv2 में केवल वेक्टर), टेक्स्ट के ब्लॉक के रूप में सभी मीट्रिक के मानों का प्रतिनिधित्व करता है।
संस्करण 2
CVSSv2 के लिए संपूर्ण दस्तावेज़ीकरण FIRST से उपलब्ध है।[8] नीचे एक सारांश दिया गया है।
बेस मेट्रिक्स
एक्सेस वेक्टर
एक्सेस वेक्टर (एवी) दिखाता है कि भेद्यता का शोषण कैसे किया जा सकता है।
Value | Description | Score |
---|---|---|
Local (L) | The attacker must either have physical access to the vulnerable system (e.g. firewire attacks) or a local account (e.g. a privilege escalation attack). | 0.395 |
Adjacent Network (A) | The attacker must have access to the broadcast or collision domain of the vulnerable system (e.g. ARP spoofing, Bluetooth attacks). | 0.646 |
Network (N) | The vulnerable interface is working at layer 3 or above of the OSI Network stack. These types of vulnerabilities are often described as remotely exploitable (e.g. a remote buffer overflow in a network service) | 1.0 |
पहुंच जटिलता
पहुंच जटिलता (एसी) मीट्रिक बताती है कि खोजी गई भेद्यता का फायदा उठाना कितना आसान या कठिन है।
Value | Description | Score |
---|---|---|
High (H) | Specialised conditions exist, such as a race condition with a narrow window, or a requirement for social engineering methods that would be readily noticed by knowledgeable people. | 0.35 |
Medium (M) | There are some additional requirements for the attack, such as a limit on the origin of the attack, or a requirement for the vulnerable system to be running with an uncommon, non-default configuration. | 0.61 |
Low (L) | There are no special conditions for exploiting the vulnerability, such as when the system is available to large numbers of users, or the vulnerable configuration is ubiquitous. | 0.71 |
प्रमाणीकरण
ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब एक हमलावर को लक्ष्य का फायदा उठाने के लिए उसे प्रमाणित करना होता है। इसमें (उदाहरण के लिए) पहुँच प्राप्त करने के लिए किसी नेटवर्क का प्रमाणीकरण शामिल नहीं है। स्थानीय रूप से शोषक कमजोरियों के लिए, यह मान केवल एकल या एकाधिक पर सेट किया जाना चाहिए यदि प्रारंभिक पहुंच के बाद और प्रमाणीकरण की आवश्यकता हो।
Value | Description | Score |
---|---|---|
Multiple (M) | Exploitation of the vulnerability requires that the attacker authenticate two or more times, even if the same credentials are used each time. | 0.45 |
Single (S) | The attacker must authenticate once in order to exploit the vulnerability. | 0.56 |
None (N) | There is no requirement for the attacker to authenticate. | 0.704 |
प्रभाव मेट्रिक्स
गोपनीयता
गोपनीयता (सी) मीट्रिक सिस्टम द्वारा संसाधित डेटा की गोपनीयता पर प्रभाव का वर्णन करता है।
Value | Description | Score |
---|---|---|
None (N) | There is no impact on the confidentiality of the system. | 0.0 |
Partial (P) | There is considerable disclosure of information, but the scope of the loss is constrained such that not all of the data is available. | 0.275 |
Complete (C) | There is total information disclosure, providing access to any / all data on the system. Alternatively, access to only some restricted information is obtained, but the disclosed information presents a direct, serious impact. | 0.660 |
ईमानदारी
सत्यनिष्ठा (I) मीट्रिक शोषित प्रणाली की अखंडता पर प्रभाव का वर्णन करता है।
Value | Description | Score |
---|---|---|
None (N) | There is no impact on the integrity of the system. | 0.0 |
Partial (P) | Modification of some data or system files is possible, but the scope of the modification is limited. | 0.275 |
Complete (C) | There is total loss of integrity; the attacker can modify any files or information on the target system. | 0.660 |
उपलब्धता
उपलब्धता (ए) मीट्रिक लक्ष्य प्रणाली की उपलब्धता पर प्रभाव का वर्णन करती है। हमले जो नेटवर्क बैंडविड्थ, प्रोसेसर चक्र, मेमोरी या किसी अन्य संसाधन का उपभोग करते हैं, सिस्टम की उपलब्धता को प्रभावित करते हैं।
Value | Description | Score |
---|---|---|
None (N) | There is no impact on the availability of the system. | 0.0 |
Partial (P) | There is reduced performance or loss of some functionality. | 0.275 |
Complete (C) | There is total loss of availability of the attacked resource. | 0.660 |
गणना
इन छह मेट्रिक्स का उपयोग शोषण क्षमता की गणना करने और भेद्यता के उप-स्कोर को प्रभावित करने के लिए किया जाता है। इन उप-स्कोरों का उपयोग समग्र आधार स्कोर की गणना के लिए किया जाता है।
भेद्यता के लिए CVSS वेक्टर बनाने के लिए मेट्रिक्स को जोड़ा गया है।
उदाहरण
एक बफर ओवरफ्लो भेद्यता वेब सर्वर सॉफ़्टवेयर को प्रभावित करती है जो एक दूरस्थ उपयोगकर्ता को सिस्टम का आंशिक नियंत्रण प्राप्त करने की अनुमति देती है, जिसमें इसे बंद करने की क्षमता भी शामिल है:
Metric | Value | Description |
---|---|---|
Access Vector | Network | The vulnerability may be accessed from any network that can access the target system - typically the whole of the internet |
Access Complexity | Low | There are no special requirements for access |
Authentication | None | There is no requirement for authentication in order to exploit the vulnerability |
Confidentiality | Partial | The attacker can read some files and data on the system |
Integrity | Partial | The attacker can alter some files and data on the system |
Availability | Complete | The attacker can cause the system and web service to become unavailable / unresponsive by shutting the system down |
यह 9.0 का समग्र आधार स्कोर देते हुए 10 का एक शोषक उप-स्कोर और 8.5 का प्रभाव उप-स्कोर देगा। इस मामले में बेस स्कोर के लिए वेक्टर AV:N/AC:L/Au:N/C:P/I:P/A:C होगा। स्कोर और वेक्टर आम तौर पर एक साथ प्रस्तुत किए जाते हैं ताकि प्राप्तकर्ता भेद्यता की प्रकृति को पूरी तरह से समझ सके और यदि आवश्यक हो तो अपने स्वयं के पर्यावरण स्कोर की गणना कर सके।
टेम्पोरल मेट्रिक्स
टेम्पोरल मेट्रिक्स का मूल्य भेद्यता के जीवनकाल में बदल जाता है, क्योंकि शोषण विकसित, खुलासा और स्वचालित होता है और जैसे ही शमन और सुधार उपलब्ध होते हैं।
शोषणशीलता
शोषण क्षमता (ई) मीट्रिक शोषण तकनीकों या स्वचालित शोषण कोड की वर्तमान स्थिति का वर्णन करती है।
Value | Description | Score |
---|---|---|
Unproven (U) | No exploit code is available, or the exploit is theoretical | 0.85 |
Proof-of-concept (P) | Proof-of-concept exploit code or demonstration attacks are available, but not practical for widespread use. Not functional against all instances of the vulnerability. | 0.9 |
Functional (F) | Functional exploit code is available, and works in most situations where the vulnerability is present. | 0.95 |
High (H) | The vulnerability can be exploited by automated code, including mobile code (such as a worm or virus). | 1.0 |
Not Defined (ND) | This is a signal to ignore this score. | 1.0 |
उपचारात्मक स्तर
भेद्यता का सुधारात्मक स्तर (आरएल) भेद्यता के अस्थायी स्कोर को कम करने की अनुमति देता है क्योंकि शमन और आधिकारिक सुधार उपलब्ध कराए जाते हैं।
Value | Description | Score |
---|---|---|
Official Fix (O) | A complete vendor solution is available - either a patch or an upgrade. | 0.87 |
Temporary Fix (T) | There is an official but temporary fix / mitigation available from the vendor. | 0.90 |
Workaround (W) | There is an unofficial, non-vendor solution or mitigation available - perhaps developed or suggested by users of the affected product or another third party. | 0.95 |
Unavailable (U) | There is no solution available, or it is impossible to apply a suggested solution. This is the usual initial state of the remediation level when a vulnerability is identified. | 1.0 |
Not Defined (ND) | This is a signal to ignore this score. | 1.0 |
रिपोर्ट विश्वास
भेद्यता की रिपोर्ट विश्वास (आरसी) भेद्यता के अस्तित्व में विश्वास के स्तर को मापता है और भेद्यता के तकनीकी विवरण की विश्वसनीयता को भी मापता है।
Value | Description | Score |
---|---|---|
Unconfirmed (UC) | A single unconfirmed source, or multiple conflicting sources. Rumored vulnerability. | 0.9 |
Uncorroborated (UR) | Multiple sources that broadly agree - there may be a level of remaining uncertainty about the vulnerability | 0.95 |
Confirmed (C) | Acknowledged and confirmed by the vendor or manufacturer of the affected product. | 1.0 |
Not Defined (ND) | This is a signal to ignore this score. | 1.0 |
गणना
इन तीन मेट्रिक्स का उपयोग बेस स्कोर के संयोजन के साथ किया जाता है जिसकी गणना पहले से ही संबंधित वेक्टर के साथ भेद्यता के लिए अस्थायी स्कोर बनाने के लिए की जाती है।
लौकिक स्कोर की गणना करने के लिए प्रयुक्त सूत्र है:
उदाहरण
ऊपर दिए गए उदाहरण के साथ जारी रखने के लिए, यदि विक्रेता को पहली बार मेलिंग सूची में प्रूफ-ऑफ़-कॉन्सेप्ट कोड पोस्ट करके भेद्यता के बारे में सूचित किया गया था, तो प्रारंभिक टेम्पोरल स्कोर की गणना नीचे दिखाए गए मानों का उपयोग करके की जाएगी:
Metric | Value | Description |
---|---|---|
Exploitability | Proof-of-concept | Proof-of concept, non-automated code is provided to show basic exploit functionality. |
Remediation Level | Unavailable | The vendor has not yet had the opportunity to provide a mitigation or fix. |
Report Confidence | Unconfirmed | There has been a single report of the vulnerability |
यह E:P/RL:U/RC:UC (या AV:N/AC:L/Au:N/C:P/I:P का एक पूर्ण वेक्टर) के अस्थायी वेक्टर के साथ 7.3 का अस्थायी स्कोर देगा। /ए:सी/ई:पी/आरएल:यू/आरसी:यूसी).
यदि विक्रेता भेद्यता की पुष्टि करता है, तो ई: पी / आरएल: यू / आरसी: सी के अस्थायी वेक्टर के साथ स्कोर 8.1 तक बढ़ जाता है।
वेंडर की ओर से एक अस्थायी फिक्स स्कोर को वापस 7.3 (E:P/RL:T/RC:C) तक कम कर देगा, जबकि एक आधिकारिक फिक्स इसे और घटाकर 7.0 (E:P/RL:O/RC:C) कर देगा। . चूंकि यह सुनिश्चित करना संभव नहीं है कि प्रत्येक प्रभावित प्रणाली को ठीक कर दिया गया है या पैच कर दिया गया है, अस्थायी स्कोर विक्रेता के कार्यों के आधार पर एक निश्चित स्तर से कम नहीं हो सकता है, और यदि भेद्यता के लिए एक स्वचालित शोषण विकसित किया जाता है तो यह बढ़ सकता है।
पर्यावरण मेट्रिक्स
पर्यावरण मेट्रिक्स आधार और वर्तमान अस्थायी स्कोर का उपयोग कमजोर उत्पाद या सॉफ़्टवेयर को तैनात करने के तरीके के संदर्भ में भेद्यता की गंभीरता का आकलन करने के लिए करते हैं। इस उपाय की गणना व्यक्तिपरक रूप से की जाती है, आमतौर पर प्रभावित पक्षों द्वारा।
संपार्श्विक क्षति संभावित
संपार्श्विक क्षति क्षमता (सीडीपी) मीट्रिक भौतिक संपत्ति जैसे उपकरण (और जीवन) पर संभावित नुकसान या प्रभाव को मापता है, या यदि भेद्यता का शोषण किया जाता है तो प्रभावित संगठन पर वित्तीय प्रभाव पड़ता है।
Value | Description | Score |
---|---|---|
None (N) | No potential for loss of property, revenue or productivity | 0 |
Low (L) | Slight damage to assets, or minor loss of revenue or productivity | 0.1 |
Low-Medium (LM) | Moderate damage or loss | 0.3 |
Medium-High (MH) | Significant damage or loss | 0.4 |
High (H) | Catastrophic damage or loss | 0.5 |
Not Defined (ND) | This is a signal to ignore this score. | 0 |
लक्ष्य वितरण
लक्ष्य वितरण (टीडी) मीट्रिक पर्यावरण में कमजोर प्रणालियों के अनुपात को मापता है।
Value | Description | Score |
---|---|---|
None (N) | No target systems exist, or they only exist in laboratory settings | 0 |
Low (L) | 1–25% of systems at risk | 0.25 |
Medium (M) | 26–75% of systems at risk | 0.75 |
High (H) | 76–100% of systems at risk | 1.0 |
Not Defined (ND) | This is a signal to ignore this score. | 1.0 |
इम्पैक्ट सब्सकोर संशोधक
तीन और मेट्रिक्स गोपनीयता (सीआर), अखंडता (आईआर) और उपलब्धता (एआर) के लिए विशिष्ट सुरक्षा आवश्यकताओं का आकलन करते हैं, जिससे पर्यावरण स्कोर को उपयोगकर्ताओं के पर्यावरण के अनुसार ठीक-ठाक किया जा सकता है।
Value | Description | Score |
---|---|---|
Low (L) | Loss of (confidentiality / integrity / availability) is likely to have only a limited effect on the organisation. | 0.5 |
Medium (M) | Loss of (confidentiality / integrity / availability) is likely to have a serious effect on the organisation. | 1.0 |
High (H) | Loss of (confidentiality / integrity / availability) is likely to have a catastrophic effect on the organisation. | 1.51 |
Not Defined (ND) | This is a signal to ignore this score. | 1.0 |
गणना
पर्यावरण स्कोर की गणना करने और संबंधित पर्यावरण वेक्टर का उत्पादन करने के लिए पांच पर्यावरण मेट्रिक्स का उपयोग पहले से मूल्यांकन किए गए आधार और लौकिक मेट्रिक्स के संयोजन के साथ किया जाता है।
उदाहरण
यदि उपरोक्त असुरक्षित वेब सर्वर का उपयोग किसी बैंक द्वारा ऑनलाइन बैंकिंग सेवाएं प्रदान करने के लिए किया गया था, और विक्रेता से एक अस्थायी सुधार उपलब्ध था, तो पर्यावरण स्कोर का मूल्यांकन इस प्रकार किया जा सकता है:
Metric | Value | Description |
---|---|---|
Collateral Damage Potential | Medium-High | This value would depend on what information the attacker is able to access if a vulnerable system is exploited. In this case I am assuming that some personal banking information is available, therefore there is a significant reputational impact on the bank. |
Target Distribution | High | All of the bank's web servers run the vulnerable software. |
Confidentiality Requirement | High | Customers expect their banking information to be confidential. |
Integrity Requirement | High | Financial and personal information should not be changeable without authorization. |
Availability Requirement | Low | Unavailability of online banking services is likely to be an inconvenience for customers, but not catastrophic. |
यह 8.2 का पर्यावरण स्कोर और सीडीपी:एमएच/टीडी:एच/सीआर:एच/आईआर:एच/एआर:एल का पर्यावरण वेक्टर देगा। यह स्कोर 7.0-10.0 की सीमा के भीतर है, और इसलिए प्रभावित बैंक के व्यवसाय के संदर्भ में एक महत्वपूर्ण भेद्यता है।
===संस्करण 2=== की आलोचना कई विक्रेताओं और संगठनों ने CVSSv2 के प्रति असंतोष व्यक्त किया।
जोखिम आधारित सुरक्षा, जो ओपन सोर्स वल्नरेबिलिटी डेटाबेस का प्रबंधन करती है, और ओपन सिक्योरिटी फाउंडेशन ने संयुक्त रूप से CVSSv2 की कमियों और विफलताओं के बारे में FIRST को एक सार्वजनिक पत्र प्रकाशित किया।[9] लेखकों ने कई मेट्रिक्स में ग्रैन्युलैरिटी की कमी का हवाला दिया, जिसके परिणामस्वरूप CVSS वैक्टर और स्कोर हैं जो विभिन्न प्रकार और जोखिम प्रोफाइल की कमजोरियों को ठीक से अलग नहीं करते हैं। सीवीएसएस स्कोरिंग सिस्टम को भेद्यता के सटीक प्रभाव के बारे में बहुत अधिक ज्ञान की आवश्यकता के रूप में भी नोट किया गया था।
आधिकारिक सीवीएसएस विनिर्देशों में आंशिक और पूर्ण के बीच विवरण में कथित अंतराल को भरने के लिए ओरेकल ने गोपनीयता, अखंडता और उपलब्धता के लिए आंशिक + का नया मीट्रिक मूल्य पेश किया।[10]
संस्करण 3
इनमें से कुछ आलोचनाओं को दूर करने के लिए, CVSS संस्करण 3 का विकास 2012 में शुरू किया गया था। अंतिम विनिर्देश को CVSS v3.0 नाम दिया गया था और जून 2015 में जारी किया गया था। एक विशिष्टता दस्तावेज़ के अलावा, एक उपयोगकर्ता गाइड और उदाहरण दस्तावेज़ भी जारी किए गए थे।[11]
कई मेट्रिक्स बदले गए, जोड़े गए और हटाए गए। 0-10 की मौजूदा स्कोरिंग सीमा को बनाए रखते हुए नए मेट्रिक्स को शामिल करने के लिए संख्यात्मक सूत्र अपडेट किए गए थे। कोई नहीं (0), कम (0.1-3.9), मध्यम (4.0-6.9), उच्च (7.0-8.9), और गंभीर (9.0-10.0) की शाब्दिक गंभीरता रेटिंग[12] को परिभाषित किया गया था, सीवीएसएस v2 के लिए परिभाषित एनवीडी श्रेणियों के समान जो उस मानक का हिस्सा नहीं थे .[13]
संस्करण 2 से परिवर्तन
बेस मेट्रिक्स
बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को कमजोरियों को अलग करने में मदद करने के लिए जोड़ा गया था, जिसके लिए यूजर इंटरेक्शन या यूजर या एडमिनिस्ट्रेटर विशेषाधिकारों का फायदा उठाना जरूरी था। पहले, ये अवधारणाएँ CVSSv2 के एक्सेस वेक्टर मीट्रिक का हिस्सा थीं। बेस वेक्टर ने नए स्कोप (एस) मीट्रिक की शुरूआत भी देखी, जिसे यह स्पष्ट करने के लिए डिज़ाइन किया गया था कि किन कमजोरियों का फायदा उठाया जा सकता है और फिर सिस्टम या नेटवर्क के अन्य भागों पर हमला करने के लिए उपयोग किया जाता है। ये नए मेट्रिक्स बेस वेक्टर को मूल्यांकन की जा रही भेद्यता के प्रकार को अधिक स्पष्ट रूप से व्यक्त करने की अनुमति देते हैं।
गोपनीयता, अखंडता और उपलब्धता (C, I, A) मेट्रिक्स को CVSSv2 के आंशिक, पूर्ण के बजाय कोई नहीं, कम, या उच्च स्कोर वाले स्कोर के लिए अद्यतन किया गया था। यह CIA मेट्रिक्स पर भेद्यता के प्रभाव को निर्धारित करने में अधिक लचीलेपन की अनुमति देता है।
एक्सेस कॉम्प्लेक्सिटी का नाम बदलकर अटैक कॉम्प्लेक्सिटी (एसी) कर दिया गया ताकि यह स्पष्ट किया जा सके कि एक्सेस विशेषाधिकारों को एक अलग मीट्रिक में ले जाया गया था। यह मीट्रिक अब वर्णन करता है कि इस भेद्यता का दोहराए जाने योग्य शोषण कैसे हो सकता है; एसी उच्च है अगर हमलावर को सही समय या अन्य परिस्थितियों की आवश्यकता होती है (उपयोगकर्ता बातचीत के अलावा, जो एक अलग मीट्रिक भी है) जिसे भविष्य के प्रयासों पर आसानी से दोहराया नहीं जा सकता है।
अटैक वेक्टर (एवी) ने उन कमजोरियों का वर्णन करने के लिए भौतिक (पी) के एक नए मीट्रिक मूल्य को शामिल किया, जिन्हें प्रदर्शन करने के लिए डिवाइस या सिस्टम तक भौतिक पहुंच की आवश्यकता होती है।
टेम्पोरल मेट्रिक्स === टेम्पोरल मेट्रिक्स CVSSv2 से अनिवार्य रूप से अपरिवर्तित थे।
पर्यावरण मेट्रिक्स
CVSSv2 के पर्यावरणीय मेट्रिक्स को पूरी तरह से हटा दिया गया और अनिवार्य रूप से एक दूसरे बेस स्कोर के साथ बदल दिया गया, जिसे संशोधित वेक्टर के रूप में जाना जाता है। संशोधित आधार का उद्देश्य समग्र रूप से दुनिया की तुलना में किसी संगठन या कंपनी के भीतर अंतर को दर्शाना है। एक विशिष्ट वातावरण में गोपनीयता, अखंडता और उपलब्धता के महत्व को पकड़ने के लिए नए मेट्रिक्स जोड़े गए।
संस्करण 3 की आलोचना
सितंबर 2015 में एक ब्लॉग पोस्ट में, CERT समन्वय केंद्र ने CVSSv2 और CVSSv3.0 की सीमाओं पर चर्चा की, जिसका उपयोग इंटरनेट ऑफ थिंग्स जैसी उभरती प्रौद्योगिकी प्रणालियों में कमजोरियों को स्कोर करने में किया जाता है।[14]
संस्करण 3.1
CVSS के लिए एक मामूली अपडेट 17 जून, 2019 को जारी किया गया था। CVSS संस्करण 3.1 का लक्ष्य नए मेट्रिक्स या मीट्रिक मूल्यों को पेश किए बिना मौजूदा CVSS संस्करण 3.0 मानक को स्पष्ट करना और सुधारना था, जिससे दोनों स्कोरिंग द्वारा नए मानक को घर्षण रहित अपनाने की अनुमति मिलती है। प्रदाताओं और उपभोक्ताओं को समान रूप से स्कोर करना। सीवीएसएस मानक में सुधार करते समय प्रयोज्यता एक प्रमुख विचार था। CVSS v3.1 में किए जा रहे कई बदलाव CVSS v3.0 में पेश की गई अवधारणाओं की स्पष्टता में सुधार करने के लिए हैं, और इस तरह मानक के उपयोग में समग्र आसानी में सुधार करते हैं।
FIRST ने पिछले 15 वर्षों और उसके बाद विकसित की जा रही कमजोरियों, उत्पादों और प्लेटफार्मों पर अधिक से अधिक लागू होने के लिए CVSS को बढ़ाने और परिष्कृत करने के लिए उद्योग विषय-विशेषज्ञों से इनपुट का उपयोग किया है। सीवीएसएस का प्राथमिक लक्ष्य कई अलग-अलग निर्वाचन क्षेत्रों में भेद्यता की गंभीरता को स्कोर करने के लिए एक नियतात्मक और दोहराने योग्य तरीका प्रदान करना है, जिससे सीवीएसएस के उपभोक्ता इस स्कोर को जोखिम, उपचार और शमन के एक बड़े निर्णय मैट्रिक्स के इनपुट के रूप में उपयोग कर सकते हैं। विशेष वातावरण और जोखिम सहिष्णुता।
सीवीएसएस संस्करण 3.1 विनिर्देश के अपडेट में परिभाषाओं का स्पष्टीकरण और मौजूदा बेस मेट्रिक्स जैसे अटैक वेक्टर, विशेषाधिकार आवश्यक, स्कोप और सुरक्षा आवश्यकताएं शामिल हैं। CVSS के विस्तार की एक नई मानक विधि, जिसे CVSS एक्सटेंशन फ्रेमवर्क कहा जाता है, को भी परिभाषित किया गया था, जिससे स्कोरिंग प्रदाता को आधिकारिक आधार, टेम्पोरल और पर्यावरण मेट्रिक्स को बनाए रखते हुए अतिरिक्त मेट्रिक्स और मीट्रिक समूहों को शामिल करने की अनुमति मिलती है। अतिरिक्त मेट्रिक्स उद्योग क्षेत्रों जैसे कि गोपनीयता, सुरक्षा, मोटर वाहन, स्वास्थ्य देखभाल आदि को कोर सीवीएसएस मानक के बाहर के कारकों को स्कोर करने की अनुमति देते हैं। अंत में, सीवीएसएस शब्दावली को सीवीएसएस संस्करण 3.1 प्रलेखन में प्रयुक्त सभी शब्दों को शामिल करने के लिए विस्तारित और परिष्कृत किया गया है।
दत्तक ग्रहण
सीवीएसएस के संस्करणों को संगठनों और कंपनियों की एक विस्तृत श्रृंखला द्वारा कमजोरियों की गंभीरता को मापने के लिए प्राथमिक विधि के रूप में अपनाया गया है, जिनमें निम्न शामिल हैं:
- राष्ट्रीय भेद्यता डेटाबेस | राष्ट्रीय भेद्यता डेटाबेस (एनवीडी)[15]
- ओपन सोर्स भेद्यता डेटाबेस | ओपन सोर्स भेद्यता डेटाबेस (OSVDB)[16]
- सीईआरटी समन्वय केंद्र,[17] जो विशेष रूप से CVSSv2 बेस, टेम्पोरल और एनवायरनमेंटल मेट्रिक्स का उपयोग करता है
यह भी देखें
- सामान्य कमजोरी गणना (CWE)
- सामान्य भेद्यताएं और जोखिम (सीवीई)
- आम हमला पैटर्न गणना और वर्गीकरण (सीएपीईसी)
संदर्भ
- ↑ "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. Retrieved November 13, 2015.
- ↑ 2.0 2.1 Johnson, Pontus; Lagerstrom, Robert; Ekstedt, Mathias; Franke, Ulrik (2018-11-01). "Can the Common Vulnerability Scoring System be Trusted? A Bayesian Analysis". IEEE Transactions on Dependable and Secure Computing. 15 (6): 1002–1015. doi:10.1109/TDSC.2016.2644614. ISSN 1545-5971. S2CID 53287880.
- ↑ "सीवीएसएस v1 आर्काइव". First.org, Inc. Retrieved 2015-11-15.
- ↑ "NATIONAL INFRASTRUCTURE ADVISORY COUNCIL / MEETING AGENDA / Tuesday, April 12, 2005 / 1:30-4:30 p.m. / National Press Club / Washington, DC" (PDF). Cybersecurity and Infrastructure Security Agency. 2005-04-12. Retrieved 2022-07-18.
MITRE and CERT/CC both bring distinct but important value. Based on those proposals, the Working Group strongly suggests that these organizations work under the umbrella provided by Global FIRST for the CVSS.
- ↑ "CVSS v2 History". First.org, Inc. Retrieved 2015-11-15.
- ↑ "Announcing the CVSS Special Interest Group for CVSS v3 Development". First.org, Inc. Archived from the original on February 17, 2013. Retrieved March 2, 2013.
- ↑ "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. Retrieved November 13, 2015.
- ↑ "सीवीएसएस v2 पूर्ण दस्तावेज़ीकरण". First.org, Inc. Retrieved 2015-11-15.
- ↑ {{cite web|url=http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf |title=सीवीएसएस - कमियां, दोष और असफलताएं|publisher=Risk Based Security |date=2013-02-27 |accessdate=2015-11-15}
- ↑ "सीवीएसएस स्कोरिंग सिस्टम". Oracle. 2010-06-01. Retrieved 2015-11-15.
- ↑ "CVSS v3,.0 विशिष्टता दस्तावेज़". FIRST, Inc. Retrieved 2015-11-15.
- ↑ "सामान्य भेद्यता स्कोरिंग सिस्टम v3.0: विशिष्टता दस्तावेज़ (गुणात्मक गंभीरता रेटिंग स्केल)". First.org. Retrieved 2016-01-10.
- ↑ "NVD सामान्य भेद्यता स्कोरिंग सिस्टम समर्थन v2". National Vulnerability Database. National Institute of Standards and Technology. Retrieved March 2, 2013.
- ↑ "सीवीएसएस और इंटरनेट ऑफ थिंग्स". CERT Coordination Center. 2015-09-02. Retrieved 2015-11-15.
- ↑ "राष्ट्रीय भेद्यता डेटाबेस होम". Nvd.nist.gov. Retrieved 2013-04-16.
- ↑ "ओपन सोर्स भेद्यता डेटाबेस". OSVDB. Retrieved 2013-04-16.
- ↑ "सीवीएसएस का उपयोग कर भेद्यता गंभीरता". CERT Coordination Center. 2012-04-12. Retrieved 2015-11-15.