مقاييس نموذج CVSS لتقييم خطورة الثغرات

في تدوينه سابقة كتبت عن نظام CVSS لتقيم الثغرات ولكن لم اتطرق لكيفية قراءة وحساب التقييم باستخدام هذا النموذج. في هذه التدوينه سوف نتعرف على كيفية قراءة التقييمات مع حساب خطورة الثغرات المكتشفة باستخدام CVSS Base Vectors. وهي تعتبر الجزء الثاني من التدوينه السابقة.

لكي نقوم بحساب خطورة ثغرة تم اكتشافها نقوم بتحليل سته مقاييس تخص الثغرة, الثلاثة المقاييس الاولى تخص استغلال الثغرة وما مدى سهوله استغلالها والثلاث المقاييس الأخرى تخص تأثير الثغرة على بيئة العمل. كل مقياس له تقييم خاص به. هذه التدوينة توضح مقاييس الاصدار الثاني من نظام CVSS. الاصدار الثالث سوف يكون تدوينة خاصه به متابعة قراءة “مقاييس نموذج CVSS لتقييم خطورة الثغرات”

كيف يتم تقييم خطورة الثغرات المكتشفة

اذا كنت قد عملت على احد ادوات الـ vulnerability scanners مثل nessus او openvas سوف تلاحظ بأن التقارير المنتجه من الادوات تعطي تقييم للثغرات باربع تقييمات حرج , عالي, متوسط, منخفض, هذه التقييمات مخزنة في معلومات كل ثغره بشكل مسبق. التقييمات يتم احتسابها عن طريق معايير دقيقه يستخدمها مجتمع امن المعلومات. التقييمات تشير اذا الثغره خطيرة او مجرد ثغره منخفضه الخطورة. هناك نموذج ( Model ) يتم اتباعه من قبل الشركات يسمى بـ Common Vulnerability Scoring System ويتم استخدامه لتقييم الثغرات من جوانب عديده سوف يتم مناقشتها في هذه التدوينة . CVSS تم انشائه من قبل منظمه FIRST وهو حاليا في اصدارة الثالث ويتم استخدامه وبشكل كبيره من قبل الشركات لتقييم الثغرات سواء شركات امنية تقوم بعمل ابحاث في امن المعلومات او شركات كبيرة تم اكتشاف ثغرات في انظمتها.

 الحاجه لـ CVSS

الحاجه لوجود نظام تقييم ثغرات مستقل امر في غايه الاهمية ويجب ان يكون ذو معايير عامه تركز على الثغره نفسها ولا تخضع هذه المعايير لسياسة الشركه المالكه للمنتج او الجهه التي اكتشفت الثغره. CVSS يقيم الثغرات بموضوعه تامه ويتخلص من اي جوانب ذاتيه توثر على التقييم. كذلك المعايير التي يتخذها CVSS تركز على الثغره والبيئة التي يتواجد بها المنتج المصاب والنتائج ( severity score ) تختلف شركة الى اخرى. فعلى سبيل المثال اذا كان هناك ثغره XSS في احد المواقع ولكن جدار الحماية يتصدى لها تماماً فسوف يتم اتخاذ هذه الامر في التقييم وتخفيض الخطورة ولكن قد تكون الخطورة عالية جدا في شركة اخرى لا تملك جدار حماية, مثال اخر اذا كانت هناك ثغرة بسببها يمكن الوصول الى معلومات معينة في قاعدة بيانات في شركة ما ولكن هذه المعلومات لا تشكل اي اهمية للشركة بالرغم ان الثغره من نوع خطر مثل sql injection فسوف يتم اعتبار هذا في التقيم. عملية التقييم هي عملية كبيرة ولها جوانب كثيره يتم اخذها بعين الاعتبار اثناء حساب الخطورة باستخدام CVSS. ايضا الموضوعية امر يؤثر على عملية التقييم مثل درجة صعوبة استغلال الثغره, قد يختلف شخصان واحدهم يجد بان استغلال الثغره امر سهل وشخص اخر يجد الاستغلال صعب لذلك الموضوعيه عامل مهم في التقييم. متابعة قراءة “كيف يتم تقييم خطورة الثغرات المكتشفة”