هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

Mostly about DFIR and some other stuffs

كيف يتم تقييم خطورة الثغرات

اذا كنت قد عملت على احد ادوات الـ vulnerability scanners مثل nessus او openvas سوف تلاحظ بأن التقارير المنتجه من الادوات تعطي تقييم للثغرات باربع تقييمات حرج , عالي, متوسط, منخفض, هذه التقييمات مخزنة في معلومات كل ثغره بشكل مسبق. التقييمات يتم احتسابها عن طريق معايير دقيقه يستخدمها مجتمع امن المعلومات. التقييمات تشير اذا الثغره خطيرة او مجرد ثغره منخفضه الخطورة. هناك نموذج ( Model ) يتم اتباعه من قبل الشركات يسمى بـ Common Vulnerability Scoring System ويتم استخدامه لتقييم الثغرات من جوانب عديده سوف يتم مناقشتها في هذه التدوينة . CVSS تم انشائه من قبل منظمه FIRST وهو حاليا في اصدارة الثالث ويتم استخدامه وبشكل كبيره من قبل الشركات لتقييم الثغرات سواء شركات امنية تقوم بعمل ابحاث في امن المعلومات او شركات كبيرة تم اكتشاف ثغرات في انظمتها.

 الحاجه لـ CVSS

الحاجه لوجود نظام تقييم ثغرات مستقل امر في غايه الاهمية ويجب ان يكون ذو معايير عامه تركز على الثغره نفسها ولا تخضع هذه المعايير لسياسة الشركه المالكه للمنتج او الجهه التي اكتشفت الثغره. CVSS يقيم الثغرات بموضوعه تامه ويتخلص من اي جوانب ذاتيه توثر على التقييم. كذلك المعايير التي يتخذها CVSS تركز على الثغره والبيئة التي يتواجد بها المنتج المصاب والنتائج ( severity score ) تختلف شركة الى اخرى. فعلى سبيل المثال اذا كان هناك ثغره XSS في احد المواقع ولكن جدار الحماية يتصدى لها تماماً فسوف يتم اتخاذ هذه الامر في التقييم وتخفيض الخطورة ولكن قد تكون الخطورة عالية جدا في شركة اخرى لا تملك جدار حماية, مثال اخر اذا كانت هناك ثغرة بسببها يمكن الوصول الى معلومات معينة في قاعدة بيانات في شركة ما ولكن هذه المعلومات لا تشكل اي اهمية للشركة بالرغم ان الثغره من نوع خطر مثل sql injection فسوف يتم اعتبار هذا في التقيم. عملية التقييم هي عملية كبيرة ولها جوانب كثيره يتم اخذها بعين الاعتبار اثناء حساب الخطورة باستخدام CVSS. ايضا الموضوعية امر يؤثر على عملية التقييم مثل درجة صعوبة استغلال الثغره, قد يختلف شخصان واحدهم يجد بان استغلال الثغره امر سهل وشخص اخر يجد الاستغلال صعب لذلك الموضوعيه عامل مهم في التقييم.

المعايير

CVSS يقيم الثغرات على حسب ثلاثة معايير رئيسية وكل معيار يتفرع لعدة معايير, الصورة التالي توضح المعايير الخاصة بـ CVSS.

Base Metrics:

 هذه المعايير ثابته لا تتغير بتغير الزمن او البيئة الخاصة بالعنصر المصاب بالثغره (vulnerable component ).

Temporal metrics: 

هذه المعايير تتاثير بالزمن ولكن ليس ببيئة العمل مثل الثغره المكتشفه حاليا خطرة ويمكن استغلالها ولكن بعد فتره زمنية يمكن ان يكون لها تحديث من الشركة المنتجة.

 Environmental metrics:

هذا المعيار ياخذ بعين الاعتبار البيئة المتواجد فيها العنصر المصاب, عملية اعداد الشبكة توثر في درجة الخطورة, هذا الجانب من التقييم يقوم به شخص يعرف بيئة العمل بشكل جيد.

 

الثلاثة المعايير الرئيسية مكونة من معايير اخرى وكل معيار له جانب يتم دراستة واعطائة Score ليتم حساب الناتج النهائي للخطورة. النتيجه التي تحصل عليها كل ثغره تكون مابين صفر وعشره .

0 الى 3.9 الثغرة منخفضة الخطورة

4.0 الى 6.9 الثغرة متوسطة الخطورة

7.0 الى 8.9 الثغرة عالية الخطورة

9.0 الى 10.0 الثغرة حرجة

CVSS calculator :

هناك حاسبة يمكن استخدامها لحساب درجة الخطورة للثغره. الحاسبة يتم استخدامها بواسطة شخص حصل على النقاط للمعاير من الشخص المناسب. عملية التقييم لكل معيار يجب ان تتم بواسطة الشخص المناسب لا يمكن مثلا تقييم الـ Environmental metrics بواسطة شخص لا يعرف البيئة الخاصة بالعنصر جيدا.

هناك حاسبة بواسطة من قبل منظمه FIRST وهي المنظمه التي انشئت CVSS

https://www.first.org/cvss/calculator/3.0

هناك ايضا حاسبة بواسطة NIST

https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator

هذه بعض الامثلة لثغرات حقيقة تم احتساب خطورتها باستخدام CVSS

Example hyperlink to CVSS v3 calculator with vulnerability name:
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2016-0051

Example base vector hyperlinks to CVSS v3 calculator:
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Example base vector hyperlinks to CVSS v3 calculator with vulnerability name:
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2016-0051&vector=AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Example environmental vector hyperlinks to CVSS v3 calculator:
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:A/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N/CR:H/IR:H/AR:M/MAV:L/MAC:L/MPR:N/MUI:R/MS:C/MC:N/MI:N/MA:L

Example temporal vector hyperlinks to CVSS v3 calculator:
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:A/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N/E:P/RL:T/RC:R

V2 Examples

Example hyperlink to CVSS v2 calculator with vulnerability name:
https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?name=CVE-2007-1001

Example base vector hyperlinks to CVSS v2 calculator:
https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?vector=(AV:L/AC:H/Au:N/C:N/I:P/A:C)

Example environmental vector hyperlinks to CVSS v2 calculator:
https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?vector=(AV:L/AC:H/Au:N/C:N/I:P/A:C/E:POC/RL:OF/RC:C/CDP:L/TD:M/CR:L/IR:L/AR:H)

Example temporal vector hyperlinks to CVSS v2 calculator:
https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?vector=(AV:L/AC:H/Au:N/C:N/I:P/A:C/E:POC/RL:OF/RC:C)

اذا فتحت احد الامثله من خلال الرابط السابق سوف تجد ان هناك بعض الاحرف مثل AV:A/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N/E:P/RL:T/RC:R وهذه لها معاني فيما يخص التقييم يمكن الاطلاع على معنى كل حرف من خلال الدليل التالي CVSS Base Vectors

في الاخير اذا اردت الاستزادة في ما يخص CVSS يمكن زيارة الدليل الخاص بهذا النموذج من هنا https://www.first.org/cvss/specification-document

لا يوجد تعليقات على هذه المقالة

اضف تعليق