Исключен средний уровень сложности эксплуатации – если для эксплуатации требуется выполнение специальных условий, неподконтрольных атакующему, или для выполнения которых потребуются проводить дополнительные атаки, то сложность эксплуатации считается высокой. В остальных случаях – низкой. Отдельным показателем вынесено взаимодействие с пользователем (User Interaction: None/Required).

Аутентификация заменена на оценку уровня привилегий (показатель Privileges Required) – этот уровень может быть высоким, низким или отсутствовать. Последнее значение эквивалентно отсутствию аутентификации, низкий уровень соответствует аутентификации с правами обычного пользователя, а высокий – с правами администратора. Данное изменение обусловлено тем, что число аутентификаций отражает сложность эксплуатации менее выразительно, чем качественная сложность каждой аутентификации (получить права администратора сложно, аутентифицироваться десять раз с правами обычного пользователя обычно не сложнее, чем сделать это один раз).

Скорректированы коэффициенты в уравнениях – оценка стала меньше зависеть от сложности эксплуатации и больше от причиняемого воздействия.

Введено понятие цепочки уязвимостей. Иногда эксплуатация нескольких уязвимостей единовременно несет гораздо большую опасность, чем каждая из уязвимостей отдельно.

Метрики воздействия из количественных перешли в качественные. Вместо частичного и полного влияния на конфиденциальность, целостность и доступность оценивается еше и критичность той части системы, на которую было проведено воздействие, в терминах среднего (Medium) и сильного (High) воздействия.

Введены понятия атакуемого и уязвимого компонента, границ эксплуатации. Иногда уязвимость, найденная в одной системе, влияет на другую, не связанную с ней. В CVSS 3.0 предлагается учитывать максимальное воздействие в каждом показателе и дополнительно повышать оценку опасности, если область действия атаки была изменена. Для этого добавлен показатель смены границы эксплуатации (Scope: Changed/Unchanged).

Два последних пункта из списка изменений заслуживают отдельного внимания. Чтобы продемонстрировать актуальность положений пункта 6, рассчитаем базовую метрику для уязвимости CVE-2018-4871. Уязвимость заключается в чтении за границами буфера в Adobe Flash Player и позволяет прочитать приватную информацию с ПК пользователя, доступную уязвимому приложению (по умолчанию – недоступно ничего). С позиций CVSS 2.0 эта уязвимость имеет точно такие же характеристики, как и Heartbleed. Однако утечка приватного ключа сервера позволяет расшифровать весь трафик, который когда-либо приходил на сервер от кого угодно. Поэтому сохранение конфиденциальности приватного ключа сервера гораздо важнее защиты информации на ПК. В CVSS 3.0 показатель конфиденциальности у Heartbleed признается высоким, а у только что описанной уязвимости – средним, итоговые оценки 7.3 и 5.3 соответственно.

---

Важность седьмого пункта можно продемонстрировать на примере CVE-2012-1516. Для эксплуатации этой уязвимости достаточно лишь запустить эксплойт (AC: L) на удаленной машине (AV: N), один раз авторизовавшись с правами обычного пользователя (AU: S – в CVSS v2.0 или PR: L в CVSS v3.0) в гостевой операционной системе. Взаимодействие с пользователем в процессе эксплуатации не требуется (UI: N). Уязвимым компонентом являются средства виртуализации, обеспечивающие работу гостевой операционной системы, однако эксплуатация данной уязвимости приводит к выполнению кода на основной, хостовой ОС, то есть, в итоге атакуется другой компонент (S: C). Выполнение кода на основной ОС потенциально открывает злоумышленнику намного больше возможностей, например, доступ к приложениям хостовой ОС, недоступным по сети. Возможность исполнения произвольного кода приводит к полной компрометации, потере целостности и доступности (C: C/I: C/A: C или C: H/I: H/A) основной ОС. Подставив CVSS 2.0 вектор (AV: N/AC: L/Au: S/C: C/I: C/A: C) в уравнение из стандарта получим оценку 9.0. В CVSS 3.0 вектор данной уязвимости (AV: N/AC: L/Pr: L/UI: N/S: C/C: H/I: H/A: H) и после подстановки получаем оценку 9.9. При этом похожий вектор уязвимости (AV: N/AC: L/Pr: L/UI: N/S: U/C: H/I: H/A: H) после подстановки получает оценку лишь 8.8. У этих векторов отличается лишь показатель смены границы эксплуатации – благодаря нему CVSS 3.0 позволяет адекватно отразить резкое увеличение опасности именно за счет атаки других компонентов.
Выводы

Идеальную систему оценки уязвимостей создать скорее всего невозможно. Даже в актуальной версии стандарта CVSS 3.0 могут быть неоднозначные трактовки, например, при определении важности приватной информации. Однако, использование любой версии CVSS в большинстве случаев позволяет правильно расставить приоритеты в обработке уязвимостей и оценить возможные риски. Самую детальную оценку позволяет проводить последняя версия стандарта. Но если в организации уже существует большая база с оценками, выполненными по предыдущей версии CVSS, то переход на более современную версию может оказаться слишком трудозатратным и не принести нужного результата.

---

Смотрите также файлы

• Программа летнего оздоровительного лагеря с дневным пребыванием непоседы.doc

• Какие обязательные условия должны быть соблюдены, чтобы прием А. Воробьева на работу был правомерен Ответ.docx

• Спортивные ребята.docx

• Опора для прокладки труб.docx

• Отчет по лабораторной работе 1 по дисциплине Технологии программирования Тема Обработка данных в виде массива структур средствами языка С.docx