कॉमन वल्नेरेबिलिटी स्कोरिंग सिस्टम

From Vigyanwiki

कॉमन वल्नेरेबिलिटी स्कोरिंग सिस्टम (सीवीएसएस) कंप्यूटर सिक्योरिटी वल्नेरेबिलिटी (कंप्यूटिंग) की गंभीरता का आकलन करने के लिए फ्री और ओपन इंडस्ट्री स्टैण्डर्ड है। सीवीएसएस वल्नेरेबिलिटी के लिए सेवरिटी स्कोर निर्दिष्ट करने का प्रयास करता है, जिससे रेस्पॉन्डर्स को थ्रेट के अनुसार रेस्पॉन्सेस और रिसोर्सेज को प्राथमिकता देने की अनुमति मिलती है। स्कोर की गणना सूत्र के आधार पर की जाती है जो कई सॉफ्टवेयर मीट्रिक पर निर्भर करता है जो किसी एक्सप्लॉइट की सरलता और इम्पैक्ट का अनुमान लगाता है। स्कोर 0 से 10 तक होता है, जिसमें 10 सबसे सीरियस होता है। जबकि कई लोग सेवरिटी का निर्धारण करने के लिए केवल सीवीएसएस बेस स्कोर का उपयोग करते हैं,, टेम्पोरल और एनवायर्नमेंटल स्कोर भी उपस्थित होते हैं, जो क्रमशः मिटिगेशंस की अवेलेबिलिटी और आर्गेनाईजेशन के भीतर व्यापक रूप से कितने वल्नरेबल सिस्टम्स उपस्थित हैं इसका ध्यान में रखते हैं।

सीवीएसएस (सीवीएसएसवी 3.1) का वर्तमान वर्जन जून 2019 में प्रस्तावित किया गया था।[1]

इतिहास

2003/2004 में राष्ट्रीय अवसंरचना सलाहकार परिषद (एनआईएसी) द्वारा किए गए शोध ने फरवरी 2005 में सीवीएसएस वर्जन 1 (सीवीएसएस v1) को लॉन्च किया।[2] सॉफ़्टवेयर भेद्यताओं की विवृत और सार्वभौमिक मानक गंभीरता रेटिंग प्रदान करने के लिए डिज़ाइन किए जाने के टारगेट के साथ हैं। यह प्रारंभिक मसौदा सहकर्मी समीक्षा या अन्य संगठनों द्वारा समीक्षा के अधीन नहीं था। अप्रैल 2005 में, एनआईएसी ने भविष्य के विकास के लिए सीवीएसएस का संरक्षक बनने के लिए घटना प्रतिक्रिया और सुरक्षा टीमों के फोरम का चयन किया।[3][4]

उत्पादन में सीवीएसएस v1 का उपयोग करने वाले विक्रेताओं की प्रतिक्रिया ने सुझाव दिया कि सीवीएसएस के प्रारंभिक मसौदे के साथ सिग्नीफिकेन्ट मुद्दे थे। सीवीएसएस वर्जन 2 (सीवीएसएसवी2) पर कार्य अप्रैल 2005 में प्रारंभ हुआ और अंतिम विनिर्देश जून 2007 में प्रारंभ किया गया।[5]

आगे की प्रतिक्रिया के परिणामस्वरूप सीवीएसएस वर्जन 3 पर कार्य प्रारंभ हुआ[6] 2012 में, जून 2015 में निरंतर सीवीएसएसv3.0 के साथ समाप्त किया गया।[2][7]

शब्दावली

सीवीएसएस मूल्यांकन चिंता के तीन क्षेत्रों को मापता है:

1. वल्नेरेबिलिटी के आंतरिक गुणों के लिए बेस मेट्रिक्स

2. वल्नेरेबिलिटी के जीवनकाल में विकसित होने वाली विशेषताओं के लिए टेम्पोरल मेट्रिक्स

3. वुलनेराबिलिटीज़ के लिए पर्यावरण मेट्रिक्स जो विशेष कार्यान्वयन या पर्यावरण पर निर्भर करते हैं।

इन मीट्रिक समूहों में से प्रत्येक के लिए संख्यात्मक अंक उत्पन्न होता है। वेक्टर स्ट्रिंग (या सीवीएसएसv2 में एन्यूनात्र वेक्टर), टेक्स्ट के ब्लॉक के रूप में सभी मीट्रिक के मानों का प्रतिनिधित्व करता है।

वर्जन 2

सीवीएसएसv2 के लिए संपूर्ण अधिकारपत्रीकरण फर्स्ट से उपलब्ध है।[8] नीचे सारांश दिया गया है।

बेस मेट्रिक्स

एक्सेस वेक्टर

एक्सेस वेक्टर (एवी) दिखाता है कि वल्नेरेबिलिटी का एक्सप्लोइटेशन कैसे किया जा सकता है।

वैल्यू विवरण अंक
लोकल (एल) अटैककर्स के निकट या तो वल्नरेबल सिस्टम (जैसे फायरवायर अटैककर्स) या लोकल अकाउंट (जैसे प्रिविलेज एस्कालेशन अटैककर्स) तक फिजिकल एक्सेस होना चाहिए। 0.395
अदजसेंट नेटवर्क (ए) अटैककर्स के निकट वल्नरेबल सिस्टम के बोर्डकास्ट या कोलिजन डोमेन तक एक्सेस होना चाहिए (जैसे एआरपी स्पूफिंग, ब्लूटूथ अटैककर्स)। 0.646
नेटवर्क (एन) वल्नरेबल इंटरफ़ेस ओएसआई नेटवर्क स्टैक की लेयर 3 या उससे ऊपर पर कार्यकर रहा है। इस प्रकार की वुलनेराबिलिटीज़ को अधिकांशतः ओवरफ्लो से एक्सप्लोइटेबल के रूप में वर्णित किया जाता है (उदाहरण के लिए नेटवर्क सर्विस में ओवरफ्लो बफर रिमोट) 1.0

एक्सेस कम्प्लेक्सिटी

एक्सेस कम्प्लेक्सिटी (एसी) मीट्रिक बताती है कि अनुसंधान गई वल्नेरेबिलिटी का लाभ उठाना कितना आसान या कठिन है।

वैल्यू विवरण अंक
हाई (एच) स्पेशलिज़्ड कंडीशन उपस्थित हैं, जैसे नैरो विंडो के साथ रेस की कंडीशन, या सोशल इंजीनियरिंग विधियों की आवश्यकता जो जानकार लोगों द्वारा सरलता से देखी जा सकती है। 0.35
मीडियम (एम) अटैककर्स के लिए कुछ अतिरिक्त आवश्यकताएं हैं, जैसे अटैककर्स की उत्पत्ति पर सीमा, अनकॉमन, नॉन-डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ वल्नरेबल सिस्टम के चलने की आवश्यकता। 0.61
लो (एल) वल्नेरेबिलिटी का एक्सप्लोइटिंग करने के लिए कोई विशेष कंडीशन नहीं हैं, जैसे कि जब सिस्टम बड़ी संख्या में यूजर के लिए उपलब्ध हो, या वल्नरेबल कॉन्फ़िगरेशन यूबीक्विटोस हो। 0.71

ऑथेंटिकेशन

ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब अटैककर्स को टारगेट का लाभ उठाने के लिए उसे ऑथेंटिकेट करना होता है। इसमें (उदाहरण के लिए) एक्सेस प्राप्त करने के लिए किसी नेटवर्क का ऑथेंटिकेशन सम्मिलित नहीं है। लोकल रूप से एक्सप्लोइटेबल वुलनेराबिलिटीज़ के लिए, यह मान मात्र एकल या एकाधिक पर सेट किया जाना चाहिए यदि प्रारंभिक एक्सेस के बाद और ऑथेंटिकेशन की आवश्यकता हो।

वैल्यू विवरण अंक
मल्टीप्ल (एम) वल्नेरेबिलिटी के एक्सप्लोइटेशन के लिए आवश्यक है कि अटैककर्स दो या अधिक बार ऑथेंटिकेट करे, भले ही समान क्रेडेंशियल्स का उपयोग किया जाए। 0.45
सिंगल (एस) वल्नेरेबिलिटी का लाभ उठाने के लिए अटैककर्स को ऑथेंटिकेट करना होगा। 0.56
नन (एन) अटैककर्स को ऑथेंटिकेट करने की कोई आवश्यकता नहीं है। 0.704

इम्पैक्ट मेट्रिक्स

कॉन्फिडेंशियलिटी

कॉन्फिडेंशियलिटी (सी) मीट्रिक सिस्टम द्वारा संसाधित डेटा की कॉन्फिडेंशियलिटी पर इम्पैक्ट का वर्णन करता है।

वैल्यू विवरण अंक
नन (एन) सिस्टम की कॉन्फिडेंशियलिटी पर कोई इम्पैक्ट नहीं पड़ता है। 0.0
पार्शियल (पी) इनफार्मेशन का अधिक डिसक्लोस्जर हुई है, किन्तु डैमेज की सीमा इस प्रकार सीमित है कि सभी डेटा उपलब्ध नहीं हैं। 0.275
कम्पलीट (सी) सिस्टम पर किसी भी / सभी डेटा तक एक्सेस प्रदान करने के लिए कुल इनफार्मेशन डिसक्लोस्जर है। वैकल्पिक रूप से, केवल कुछ रिस्ट्रिक्टेड इनफार्मेशन तक ही एक्सेस प्राप्त की जाती है, किन्तु प्रकट की गई इनफार्मेशन डायरेक्ट, सीरियस इम्पैक्ट प्रस्तुत करती है। 0.660

इंटीग्रिटी

इंटीग्रिटी (I) मीट्रिक शोषित सिस्टम की इंटीग्रिटी पर इम्पैक्ट का वर्णन करता है।

वैल्यू विवरण अंक
नन (एन) सिस्टम की इंटीग्रिटी पर कोई इम्पैक्ट नहीं पड़ता है। 0.0
पार्शियल (पी) कुछ डेटा या सिस्टम फ़ाइलों का मॉडिफिकेशन संभव है, किन्तु मॉडिफिकेशन का स्कोप सीमित है। 0.275
कम्पलीट (सी) इंटीग्रिटी का कुल लोस होता है; अटैककर्स टारगेट सिस्टम पर किसी भी फाइल या इनफार्मेशन को संशोधित कर सकता है। 0.660


अवेलेबिलिटी

अवेलेबिलिटी (ए) मीट्रिक टारगेट सिस्टम की अवेलेबिलिटी पर इम्पैक्ट का वर्णन करती है। अटैककर्स जो नेटवर्क बैंडविड्थ, प्रोसेसर चक्र, मेमोरी या किसी अन्य रिसोर्स का उपभोग करते हैं, सिस्टम की अवेलेबिलिटी को अफेक्टेड करते हैं।

वैल्यू विवरण अंक
नन (एन) सिस्टम की अवेलेबिलिटी पर कोई इम्पैक्ट नहीं पड़ता है। 0.0
पार्शियल (पी) परफॉरमेंस लो हो ई है या कुछ फंक्शनलिटी भी लो गई है। 0.275
कम्पलीट (सी) अटैकएड किए गए रिसोर्स की अवेलेबिलिटी का कुल लोस हुआ है। 0.660


गणना

इन छह मेट्रिक्स का उपयोग एक्सप्लोइटेशन क्षमता की गणना करने और वल्नेरेबिलिटी के उप-स्कोर को अफेक्टेड करने के लिए किया जाता है। इन उप-स्कोरों का उपयोग समग्र आधार स्कोर की गणना के लिए किया जाता है।

वल्नेरेबिलिटी के लिए सीवीएसएस वेक्टर बनाने के लिए मेट्रिक्स को जोड़ा गया है।

उदाहरण

बफर ओवरफ्लो वल्नेरेबिलिटी वेब सर्वर सॉफ़्टवेयर को अफेक्टेड करती है जो दूरस्थ उपयोगकर्ता को सिस्टम का पार्शियल नियंत्रण प्राप्त करने की अनुमति देती है, जिसमें इसे शटिंग करने की क्षमता भी सम्मिलित है:

मेट्रिक वैल्यू विवरण
एक्सेस वेक्टर नेटवर्क वल्नेरेबिलिटी को किसी भी नेटवर्क से एक्सेस किया जा सकता है जो टारगेट सिस्टम तक एक्सेस सकता है - सामान्यतः संपूर्ण इंटरनेट
एक्सेस कोम्प्लेक्सिटी लो एक्सेस के लिए कोई विशेष आवश्यकताएँ नहीं हैं
ऑथेंटिकेशन नन वल्नेरेबिलिटी का लाभ उठाने के लिए ऑथेंटिकेशन की कोई आवश्यकता नहीं है
कॉन्फिडेंशियलिटी पार्शियल अटैककर्स सिस्टम पर उपस्थित कुछ फाइलों और डेटा को रीड कर सकता है
इंटीग्रिटी पार्शियल अटैककर्स सिस्टम पर कुछ फाइलों और डेटा को परिवर्तित कर सकता है
अवेलेबिलिटी कम्पलीट अटैककर्स सिस्टम को शटिंग करके सिस्टम और वेब सर्विस को एनवैलब्ले / अनरेस्पोंसिव बना सकता है

यह 9.0 का समग्र आधार स्कोर देते हुए 10 का एक्सप्लोइटेबल उप-स्कोर और 8.5 का इम्पैक्ट उप-स्कोर देगा।

इस कंडीशन में बेस स्कोर के लिए वेक्टर AV:N/AC:L/Au:N/C:P/I:P/A:C होगा। स्कोर और वेक्टर सामान्यतः साथ प्रस्तुत किए जाते हैं जिससे कि प्राप्तकर्ता वल्नेरेबिलिटी की प्रकृति को पूरी प्रकार से समझ सके और यदि आवश्यक हो तो अपने स्वयं के पर्यावरण स्कोर की गणना कर सके।

टेम्पोरल मेट्रिक्स

टेम्पोरल मेट्रिक्स का मूल्य वल्नेरेबिलिटी के जीवनकाल में परिवर्तित कर जाता है, क्योंकि एक्सप्लोइटेशन विकसित, सारांश और ऑटोमेटेड होता है और जैसे ही मिटिगेशन और फिक्स उपलब्ध होते हैं।

एक्सप्लोइटाबिलिटी

एक्सप्लोइटेशन क्षमता (ई) मीट्रिक एक्सप्लोइटेशन तकनीकों या ऑटोमेटेड एक्सप्लोइटेशन कोड की वर्तमान कंडीशन का वर्णन करती है।

वैल्यू विवरण अंक
अनप्रोवेन (यू) कोई एक्सप्लोइटेशन कोड उपलब्ध नहीं है, या एक्सप्लोइटेशन थ्योरेटिकल है 0.85
प्रूफ ऑफ़ कांसेप्ट (पी) प्रूफ-ऑफ-कॉन्सेप्ट एक्सप्लोइटेशन कोड या परफॉरमेंस अटैककर्स उपलब्ध हैं, किन्तु व्यापक उपयोग के लिए व्यावहारिक नहीं हैं। वल्नेरेबिलिटी के सभी उदाहरणों के अगेंस्ट फंक्शनल नहीं है। 0.9
फंक्शनल (एफ) फंक्शनल एक्सप्लोइटेशन कोड उपलब्ध है, और अधिकांश स्थितियों में कार्यकरता है जहां वल्नेरेबिलिटी उपस्थित है। 0.95
हाई (एच) मोबाइल कोड (जैसे वोर्म या वायरस) सहित ऑटोमेटेड कोड द्वारा वल्नेरेबिलिटी का लाभ उठाया जा सकता है। 1.0
नोट डिफाइंड (एनडी) यह इस स्कोर को उपेक्षित करने का संकेत है। 1.0

रेमेडिएशन लेवल

वल्नेरेबिलिटी का सुधारात्मक लेवल (आरएल) वल्नेरेबिलिटी के टेम्पररी स्कोर को लो करने की अनुमति देता है क्योंकि मिटिगेशन और ऑफिसियल फिक्स उपलब्ध कराए जाते हैं।

वैल्यू विवरण अंक
ऑफिसियल फिक्स (ओ) कम्पलीट वेंडर सलूशन उपलब्ध है - या तो पैच या अपग्रेड। 0.87
टेम्पररी फिक्स (टी) वेंडर से ऑफिसियल किन्तु टेम्पररी फिक्स / मिटिगेशन उपलब्ध है। 0.90
सलूशन (डब्ल्यू) अनऑफिसियल, नॉन-वेंडर सलूशन या मिटिगेशन उपलब्ध है - संभवतः अफेक्टेड प्रोडक्ट या किसी अन्य तृतीय पक्ष के यूजर द्वारा डेवलप्ड या सजस्ट किया गया हो। 0.95
एनवैलब्ले (यू) कोई सलूशन उपलब्ध नहीं है, या सजस्ट किये गए सलूशन को प्रारम्भ करना असंभव है। जब वल्नेरेबिलिटी की पहचान की जाती है तो यह रेमेडिएशन लेवल की सामान्य प्रारंभिक कंडीशन होती है। 1.0
नोट डिफाइंड (एनडी) यह इस स्कोर को उपेक्षित करने का संकेत है। 1.0

रिपोर्ट कॉन्फिडेंस

वल्नेरेबिलिटी की रिपोर्ट विश्वास (आरसी) वल्नेरेबिलिटी के अस्तित्व में विश्वास के लेवल को मापता है और वल्नेरेबिलिटी के तकनीकी विवरण की विश्वसनीयता को भी मापता है।

वैल्यू विवरण अंक
अनकंफर्म्ड (यूसी) अनकंफर्म्ड सोर्स, मल्टीप्ल कन्फ्लिक्टिंग सोर्स। रउमरेड वल्नेरेबिलिटी। 0.9
अनकरोबोरेटेड (यूआर) कई सोर्स जो व्यापक रूप से सहमत हैं- वल्नेरेबिलिटी के बारे में शेष अनिश्चितता का लेवल हो सकता है 0.95
कंफर्म्ड (सी) अफेक्टेड प्रोडक्ट के वेंडर या manufacturer द्वारा स्वीकार और कंफर्म्ड की गई। 1.0
नोट डिफाइंड (एनडी) यह इस स्कोर को उपेक्षित करने का संकेत है। 1.0

गणना

इन तीन मेट्रिक्स का उपयोग बेस स्कोर के संयोजन के साथ किया जाता है जिसकी गणना पूर्व से ही संबंधित वेक्टर के साथ वल्नेरेबिलिटी के लिए टेम्पररी स्कोर बनाने के लिए की जाती है।

लौकिक स्कोर की गणना करने के लिए प्रयुक्त सूत्र है:

उदाहरण

ऊपर दिए गए उदाहरण के साथ निरंतर रखने के लिए, यदि वेंडर को पहली बार मेलिंग सूची में प्रूफ-ऑफ़-कॉन्सेप्ट कोड पोस्ट करके वल्नेरेबिलिटी के बारे में सूचित किया गया था, तो प्रारंभिक टेम्पोरल स्कोर की गणना नीचे दिखाए गए मानों का उपयोग करके की जाएगी:

मीट्रिक वैल्यू विवरण
एक्सप्लोइटेशन प्रूफ ऑफ़ कांसेप्ट बेसिक एक्सप्लोइटेशन की फंक्शनलिटी दिखाने के लिए प्रूफ ऑफ़ कांसेप्ट, नॉन-ऑटोमेटेड कोड प्रदान किया जाता है।
रेमेडिएशन लेवल एनवैलब्ले वेंडर को अभी तक मिटिगेशन प्रदान करने या उचित करने का अवसर नहीं मिला है।
रिपोर्ट कॉन्फिडेंस अनकंफर्म्ड वल्नेरेबिलिटी की ही रिपोर्ट की गई है

यह E:P/RL:U/RC:UC (या AV:N/AC:L/Au:N/C:P/I:P का कम्पलीट वेक्टर) के टेम्पररी वेक्टर के साथ 7.3 का टेम्पररी स्कोर देगा। /ए:सी/ई:पी/आरएल:यू/आरसी:यूसी).

यदि वेंडर वल्नेरेबिलिटी की कंफर्म्ड करता है, तो ई: पी / आरएल: यू / आरसी: सी के टेम्पररी वेक्टर के साथ स्कोर 8.1 तक बढ़ जाता है।

वेंडर की ओर से टेम्पररी फिक्स स्कोर को वापस 7.3 (E:P/RL:T/RC:C) तक लो कर देगा, जबकि ऑफिसियल फिक्स इसे और घटाकर 7.0 (E:P/RL:O/RC:C) कर देगा। चूंकि यह सुनिश्चित करना संभव नहीं है कि प्रत्येक अफेक्टेड सिस्टम को उचित कर दिया गया है पैच कर दिया गया है, टेम्पररी स्कोर वेंडर के कार्यों के आधार पर निश्चित लेवल से लो नहीं हो सकता है, और यदि वल्नेरेबिलिटी के लिए ऑटोमेटेड एक्सप्लोइटेशन विकसित किया जाता है तो यह बढ़ सकता है।

एनवायर्नमेंटल मेट्रिक्स

पर्यावरण मेट्रिक्स आधार और वर्तमान टेम्पररी स्कोर का उपयोग वल्नरेबल प्रोडक्ट या सॉफ़्टवेयर को नियुक्त करने की विधि के संदर्भ में वल्नेरेबिलिटी की गंभीरता का आकलन करने के लिए करते हैं। इस उपाय की गणना व्यक्तिपरक रूप से की जाती है, सामान्यतःप्रभावित पक्षों द्वारा।

कोलैटरल डैमेज पोटेंशियल

कोलैटरल डैमेज पोटेंशियल (सीडीपी) मीट्रिक फिजिकल प्रॉपर्टी जैसे उपकरण (और जीवन) पर पोटेंशियल लोस या इम्पैक्ट को मापता है, यदि वल्नेरेबिलिटी का एक्सप्लोइटेशन किया जाता है तो अफेक्टेड आर्गेनाईजेशन पर फाइनेंसियल इम्पैक्ट पड़ता है।

वैल्यू विवरण अंक
नन (एन) प्रॉपर्टी, रेवेनुए या प्रोडक्टिविटी के लोस की कोई संभावना नहीं है 0
लो (एल) प्रॉपर्टी को माइनर लोस, या रेवेनुए या प्रोडक्टिविटी का सामान्य लोस 0.1
लो-मीडियम (एलएम) मॉडरेट लोस या डैमेज 0.3
मीडियम-हाई (एमएच) सिग्नीफिकेन्ट लोस या डैमेज 0.4
हाई (एच) कटस्ट्रोफिक लोस या डैमेज 0.5
नोट डिफाइंड (एनडी) यह इस स्कोर को उपेक्षित करने का संकेत है। 0

टारगेट डिस्ट्रीब्यूशन

टारगेट डिस्ट्रीब्यूशन (टीडी) मीट्रिक पर्यावरण में वल्नरेबल प्रणालियों के अनुपात को मापता है।

वैल्यू विवरण अंक
नन (एन) कोई टारगेट सिस्टम उपस्थित नहीं है, वे केवल कुछ लेबोरेटरी सेटिंग में उपस्थित हैं 0
लो (एल) 1-25% सिस्टम रिस्क में हैं 0.25
मीडियम (एम) 26–75% सिस्टम रिस्क में हैं 0.75
हाई (एच) 76-100% सिस्टम रिस्क में हैं 1.0
नोट डिफाइंड (एनडी) यह इस स्कोर को उपेक्षित करने का संकेत है। 1.0

इम्पैक्ट सब्सकोर मॉडिफाइयर

तीन और मेट्रिक्स कॉन्फिडेंशियलिटी (सीआर),इंटीग्रिटी (आईआर) और अवेलेबिलिटी (एआर) के लिए स्पेशलिज़्ड सुरक्षा आवश्यकताओं का आकलन करते हैं, जिससे पर्यावरण स्कोर को यूजर के पर्यावरण के अनुसार किया जा सकता है।

वैल्यू विवरण अंक
लो (एल) (कॉन्फिडेंशियलिटी/इंटीग्रिटी/अवेलेबिलिटी) के लोस का आर्गेनाईजेशन पर केवल सीमित प्रभाव पड़ने की संभावना है। 0.5
मीडियम (एम) (कॉन्फिडेंशियलिटी/इंटीग्रिटी/अवेलेबिलिटी) के लोस का आर्गेनाईजेशन पर गंभीर प्रभाव पड़ने की संभावना है। 1.0
हाई (एच) (कॉन्फिडेंशियलिटी/इंटीग्रिटी/अवेलेबिलिटी) के लोस का आर्गेनाईजेशन पर कटस्ट्रोफिक प्रभाव पड़ने की संभावना है। 1.51
नोट डिफाइंड (एनडी) यह इस स्कोर को उपेक्षित करने का संकेत है। 1.0

गणना

पर्यावरण स्कोर की गणना करने और संबंधित पर्यावरण वेक्टर का उत्पादन करने के लिए पांच पर्यावरण मेट्रिक्स का उपयोग पूर्व से मूल्यांकन किए गए आधार और लौकिक मेट्रिक्स के संयोजन के साथ किया जाता है।

उदाहरण

यदि उपरोक्त वल्नरेबल वेब सर्वर का उपयोग किसी बैंक द्वारा ऑनलाइन बैंकिंग सेवाएं प्रदान करने के लिए किया गया था, और वेंडर से टेम्पररी फिक्स उपलब्ध था, तो पर्यावरण स्कोर का मूल्यांकन इस प्रकार किया जा सकता है:

मीट्रिक वैल्यू विवरण
कोलैटरल डैमेज पोटेंशियल मीडियम हाई यह मान इस बात पर निर्भर करेगा कि यदि वल्नरेबल सिस्टम का एक्सप्लोइटेशन किया जाता है तो अटैककर्स किस इनफार्मेशन तक एक्सेस प्राप्त कर सकता है। इस कंडीशन में, मैं मान रहा हूं कि कुछ पर्सनल बैंकिंग इनफार्मेशन उपलब्ध है, इसलिए बैंक पर सिग्नीफिकेन्ट प्रतिष्ठात्मक इम्पैक्ट है।
टारगेट डिस्ट्रीब्यूशन हाई बैंक के सभी वेब सर्वर वल्नरेबल सॉफ़्टवेयर चलाते हैं।
कॉन्फिडेंशियलिटी की आवश्यकता हाई कस्टमर अपेक्षा करते हैं कि उनकी बैंकिंग इनफार्मेशन गोपनीय होगी।
इंटीग्रिटी की आवश्यकता हाई अथॉरिटी के बिना फाइनेंसियल और पर्सनल इनफार्मेशन परिवर्तित करने योग्य नहीं होनी चाहिए।
अवेलेबिलिटी की आवश्यकता लो ऑनलाइन बैंकिंग सेवाओं की अनुपलब्धता से कस्टमर को असुविधा हो सकती है, किन्तु कटस्ट्रोफिक नहीं।

यह 8.2 का पर्यावरण स्कोर और सीडीपी:एमएच/टीडी:एच/सीआर:एच/आईआर:एच/एआर:एल का पर्यावरण वेक्टर देगा। यह स्कोर 7.0-10.0 की सीमा के भीतर है, और इसलिए अफेक्टेड बैंक के व्यवसाय के संदर्भ में सिग्नीफिकेन्ट वल्नेरेबिलिटी है।

वर्जन 2 की आलोचना

कई विक्रेताओं और संगठनों ने सीवीएसएसv2 के प्रति असंतोष व्यक्त किया।

रिस्क आधारित सुरक्षा, जो ओपन सोर्स वल्नरेबिलिटी डेटाबेस का प्रबंधन करती है, और ओपन सिक्योरिटी फाउंडेशन ने संयुक्त रूप से सीवीएसएसv2 की न्यूनियों और विफलताओं के बारे में फर्स्ट को सार्वजनिक पत्र प्रकाशित किया।[9] लेखकों ने कई मेट्रिक्स में ग्रैन्युलैरिटी की कमी का उदाहरण दिया, जिसके परिणामस्वरूप सीवीएसएस वैक्टर और स्कोर हैं जो विभिन्न प्रकार और रिस्क प्रोफाइल की वुलनेराबिलिटीज़ को उचित से भिन्न नहीं करते हैं। सीवीएसएस स्कोरिंग सिस्टम को वल्नेरेबिलिटी के त्रुटिहीन इम्पैक्ट के बारे में बहुत अधिक ज्ञान की आवश्यकता के रूप में भी नोट किया गया था।

ऑफिसियल सीवीएसएस विनिर्देशों में पार्शियल और कम्पलीट के मध्य विवरण में कथित अंतराल को भरने के लिए ओरेकल ने कॉन्फिडेंशियलिटी, इंटीग्रिटी और अवेलेबिलिटी के लिए पार्शियल + का नया मीट्रिक मूल्य प्रस्तुत किया।[10]

वर्जन 3

इनमें से कुछ आलोचनाओं को दूर करने के लिए, सीवीएसएस वर्जन 3 का विकास 2012 में प्रारंभ किया गया था। अंतिम विनिर्देश को सीवीएसएस v3.0 नाम दिया गया था और जून 2015 में निरंतर किया गया था। विशिष्टता अधिकारपत्र के अतिरिक्त, उपयोगकर्ता मार्ग और उदाहरण अधिकारपत्र भी निरंतर किए गए थे।[11]

कई मेट्रिक्स परिवर्तन गए, जोड़े गए और हटाए गए। 0-10 की उपस्थिता स्कोरिंग सीमा को बनाए रखते हुए नए मेट्रिक्स को सम्मिलित करने के लिए संख्यात्मक सूत्र अपडेट किए गए थे। कोई नहीं (0), लो (0.1-3.9), मीडियम (4.0-6.9), हाई (7.0-8.9), और सीरियस (9.0-10.0) की शाब्दिक गंभीरता रेटिंग[12] को परिभाषित किया गया था, एनवीडी के लिए परिभाषित श्रेणियों के समान सीवीएसएस वी2 जो उस मानक का भाग नहीं थे .[13]

वर्जन 2 से परिवर्तन

बेस मेट्रिक्स

बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को वुलनेराबिलिटीज़ को भिन्न करने में सहायता करने के लिए जोड़ा गया था, जिसके लिए यूजर इंटरेक्शन या यूजर या एडमिनिस्ट्रेटर विशेषाधिकारों का लाभ उठाना अनिवार्य था। पूर्व, ये अवधारणाएँ सीवीएसएसv2 के एक्सेस वेक्टर मीट्रिक का भाग थीं। बेस वेक्टर ने नए स्कोप (एस) मीट्रिक की प्रारंभिक भी देखी, जिसे यह स्पष्ट करने के लिए डिज़ाइन किया गया था कि किन वुलनेराबिलिटीज़ का लाभ उठाया जा सकता है और फिर सिस्टम या नेटवर्क के अन्य भागों पर अटैकएड करने के लिए उपयोग किया जाता है। ये नए मेट्रिक्स बेस वेक्टर को मूल्यांकन की जा रही वल्नेरेबिलिटी के प्रकार को अधिक स्पष्ट रूप से व्यक्त करने की अनुमति देते हैं।

कॉन्फिडेंशियलिटी, इंटीग्रिटी और अवेलेबिलिटी (C, I, A) मेट्रिक्स को सीवीएसएसv2 के पार्शियल, कम्पलीट के स्थान पर कोई नहीं, लो, या हाई स्कोर वाले स्कोर के लिए अद्यतन किया गया था। यह सीआईए मेट्रिक्स पर वल्नेरेबिलिटी के इम्पैक्ट को निर्धारित करने में अधिक लचीलेपन की अनुमति देता है।

एक्सेस कॉम्प्लेक्सिटी का नाम बदलकर अटैक कॉम्प्लेक्सिटी (एसी) कर दिया गया जिससे कि यह स्पष्ट किया जा सके कि एक्सेस विशेषाधिकारों को भिन्न मीट्रिक में ले जाया गया था। यह मीट्रिक अब वर्णन करता है कि इस वल्नेरेबिलिटी का दोहराए जाने योग्य एक्सप्लोइटेशन कैसे हो सकता है; एसी हाई है यदि अटैककर्स को सही समय या अन्य परिस्थितियों की आवश्यकता होती है (उपयोगकर्ता बातचीत के अतिरिक्त, जो भिन्न मीट्रिक भी है) जिसे भविष्य के प्रयासों पर आसानी से दोहराया नहीं जा सकता है।

अटैक वेक्टर (एवी) ने उन वुलनेराबिलिटीज़ का वर्णन करने के लिए फिजिकल (पी) के नए मीट्रिक मूल्य को सम्मिलित किया, जिन्हें परफॉरमेंस करने के लिए डिवाइस या सिस्टम तक फिजिकल एक्सेस की आवश्यकता होती है।

टेम्पोरल मेट्रिक्स

टेम्पोरल मेट्रिक्स सीवीएसएसv2 से अनिवार्य रूप से अपरिवर्तित थे।

एनवायर्नमेंटल मेट्रिक्स

सीवीएसएसv2 के पर्यावरणीय मेट्रिक्स को पूरी प्रकार से हटा दिया गया और अनिवार्य रूप से दूसरे बेस स्कोर के साथ परिवर्तित कर दिया गया, जिसे संशोधित वेक्टर के रूप में जाना जाता है। संशोधित आधार का उद्देश्य समग्र रूप से दुनिया की समानता में किसी आर्गेनाईजेशन या कंपनी के भीतर अंतर को दर्शाना है। स्पेशलिज़्ड वातावरण में कॉन्फिडेंशियलिटी, इंटीग्रिटी और अवेलेबिलिटी के वैल्यू को पकड़ने के लिए नए मेट्रिक्स जोड़े गए है।

वर्जन 3 की आलोचना

सितंबर 2015 में ब्लॉग पोस्ट में, प्रमाणपत्र समन्वय केंद्र ने सीवीएसएसv2 और सीवीएसएसv3.0 की सीमाओं पर चर्चा की, जिसका उपयोग इंटरनेट ऑफ थिंग्स जैसी उभरती प्रौद्योगिकी प्रणालियों में वुलनेराबिलिटीज़ को स्कोर करने में किया जाता है।[14]

वर्जन 3.1

सीवीएसएस के लिए साधारण अपडेट 17 जून, 2019 को निरंतर किया गया था। सीवीएसएस वर्जन 3.1 का टारगेट नए मेट्रिक्स या मीट्रिक मूल्यों को प्रस्तुत किए बिना उपस्थिता सीवीएसएस वर्जन 3.0 मानक को स्पष्ट करना और सुधारना था, जिससे दोनों स्कोरिंग द्वारा नए मानक को घर्षण रहित अपनाने की अनुमति मिलती है। प्रदाताओं और उपभोक्ताओं को समान रूप से स्कोर करना। सीवीएसएस मानक में फिक्स करते समय प्रयोज्यता प्रमुख विचार था। सीवीएसएस v3.1 में किए जा रहे कई बदलाव सीवीएसएस v3.0 में प्रस्तुत की गई अवधारणाओं की स्पष्टता में फिक्स करने के लिए हैं, और इस प्रकार मानक के उपयोग में समग्र आसानी में फिक्स करते हैं।

फर्स्ट ने पिछले 15 वर्षों और उसके बाद विकसित की जा रही वुलनेराबिलिटीज़, उत्पादों और प्लेटफार्मों पर अधिक से अधिक प्रारम्भ होने के लिए सीवीएसएस को बढ़ाने और परिष्कृत करने के लिए उद्योग विषय-विशेषज्ञों से इनपुट का उपयोग किया है। सीवीएसएस का प्राथमिक टारगेट कई भिन्न-भिन्न निर्वाचन क्षेत्रों में वल्नेरेबिलिटी की गंभीरता को स्कोर करने के लिए नियतात्मक और दोहराने योग्य विधि प्रदान करना है, जिससे सीवीएसएस के उपभोक्ता इस स्कोर को रिस्क, उपचार और मिटिगेशन के बड़े निर्णय मैट्रिक्स के इनपुट के रूप में उपयोग कर सकते हैं। विशेष वातावरण और रिस्क सहिष्णुता होते है।

सीवीएसएस वर्जन 3.1 विनिर्देश के अपडेट में परिभाषाओं का स्पष्टीकरण और उपस्थिता बेस मेट्रिक्स जैसे अटैक वेक्टर, प्रिविलेज आवश्यक, स्कोप और सुरक्षा आवश्यकताएं सम्मिलित हैं। सीवीएसएस के विस्तार की नई मानक विधि, जिसे सीवीएसएस एक्सटेंशन फ्रेमवर्क कहा जाता है, को भी परिभाषित किया गया था, जिससे स्कोरिंग प्रदाता को ऑफिसियल आधार, टेम्पोरल और पर्यावरण मेट्रिक्स को बनाए रखते हुए अतिरिक्त मेट्रिक्स और मीट्रिक समूहों को सम्मिलित करने की अनुमति मिलती है। अतिरिक्त मेट्रिक्स उद्योग क्षेत्रों जैसे कि कॉन्फिडेंशियलिटी, सुरक्षा, मोटर वाहन, स्वास्थ्य देखभाल आदि को कोर सीवीएसएस मानक के बाहर के कारकों को स्कोर करने की अनुमति देते हैं। अंत में, सीवीएसएस शब्दावली को सीवीएसएस वर्जन 3.1 प्रलेखन में प्रयुक्त सभी शब्दों को सम्मिलित करने के लिए विस्तारित और परिष्कृत किया गया है।

एडॉप्शन

सीवीएसएस के वर्जनों को संगठनों और कंपनियों की विस्तृत श्रृंखला द्वारा वल्नेरेबिलिटी की सेवरिटी को मापने के लिए प्राइमरी मेथड के रूप में स्वीकार किया गया है, जिनमें लो सम्मिलित हैं:

यह भी देखें

  • कॉमन वीकनेस एनयूमेरशन (सीडब्ल्यूई)
  • कॉमन वल्नेरेबिलिटी और एक्सपोज़र्स (सीवीई)
  • कॉमन अटैक पैटर्न एनयूमेरशन और क्लासिफिकेशन (सीएपीईसी)

संदर्भ

  1. "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. Retrieved November 13, 2015.
  2. 2.0 2.1 Johnson, Pontus; Lagerstrom, Robert; Ekstedt, Mathias; Franke, Ulrik (2018-11-01). "Can the Common Vulnerability Scoring System be Trusted? A Bayesian Analysis". IEEE Transactions on Dependable and Secure Computing. 15 (6): 1002–1015. doi:10.1109/TDSC.2016.2644614. ISSN 1545-5971. S2CID 53287880.
  3. "सीवीएसएस v1 आर्काइव". First.org, Inc. Retrieved 2015-11-15.
  4. "NATIONAL INFRASTRUCTURE ADVISORY COUNCIL / MEETING AGENDA / Tuesday, April 12, 2005 / 1:30-4:30 p.m. / National Press Club / Washington, DC" (PDF). Cybersecurity and Infrastructure Security Agency. 2005-04-12. Retrieved 2022-07-18. MITRE and CERT/CC both bring distinct but important value. Based on those proposals, the Working Group strongly suggests that these organizations work under the umbrella provided by Global FIRST for the CVSS.
  5. "CVSS v2 History". First.org, Inc. Retrieved 2015-11-15.
  6. "Announcing the CVSS Special Interest Group for CVSS v3 Development". First.org, Inc. Archived from the original on February 17, 2013. Retrieved March 2, 2013.
  7. "Common Vulnerability Scoring System, V3 Development Update". First.org, Inc. Retrieved November 13, 2015.
  8. "सीवीएसएस v2 पूर्ण दस्तावेज़ीकरण". First.org, Inc. Retrieved 2015-11-15.
  9. {{cite web|url=http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf |title=सीवीएसएस - कमियां, दोष और असफलताएं|publisher=Risk Based Security |date=2013-02-27 |accessdate=2015-11-15}
  10. "सीवीएसएस स्कोरिंग सिस्टम". Oracle. 2010-06-01. Retrieved 2015-11-15.
  11. "CVSS v3,.0 विशिष्टता दस्तावेज़". FIRST, Inc. Retrieved 2015-11-15.
  12. "सामान्य भेद्यता स्कोरिंग सिस्टम v3.0: विशिष्टता दस्तावेज़ (गुणात्मक गंभीरता रेटिंग स्केल)". First.org. Retrieved 2016-01-10.
  13. "NVD सामान्य भेद्यता स्कोरिंग सिस्टम समर्थन v2". National Vulnerability Database. National Institute of Standards and Technology. Retrieved March 2, 2013.
  14. "सीवीएसएस और इंटरनेट ऑफ थिंग्स". CERT Coordination Center. 2015-09-02. Retrieved 2015-11-15.
  15. "राष्ट्रीय भेद्यता डेटाबेस होम". Nvd.nist.gov. Retrieved 2013-04-16.
  16. "ओपन सोर्स भेद्यता डेटाबेस". OSVDB. Retrieved 2013-04-16.
  17. "सीवीएसएस का उपयोग कर भेद्यता गंभीरता". CERT Coordination Center. 2012-04-12. Retrieved 2015-11-15.


बाहरी संबंध