了解 CVSS:通用漏洞评分系统的应用

news2024/11/26 11:51:16

漏洞威胁管理至关重要,因为网络犯罪是一种持续存在的全球风险。网络犯罪分子愿意利用软件中的任何漏洞来访问网络和设备。对使用该软件的软件开发人员和组织的影响可能很严重。用户必须处理攻击的结果,例如赎金或数据盗窃,并且还可能面临法律后果、经济损失和声誉受损。

开发人员应该测试代码安全,评估漏洞,并在发布前修复它们,但最终用户也应该有一个强大的漏洞威胁管理计划,以保护自己免受网络犯罪的破坏性影响。

通用漏洞评分系统旨在帮助软件开发人员和用户评估其软件的漏洞,并制定一个稳健的VTM计划,以确保其系统尽可能安全。

软件漏洞

每年都有越来越多的软件漏洞被发现,网络犯罪分子已经准备好渗透系统以获取他们的优势。软件漏洞是由于代码中的错误造成的,例如漏洞或漏洞,使攻击者能够注入或修改代码,从而完全访问系统的数据。

例如,虚拟联络中心软件开发人员可能会在其产品发布之前识别编码漏洞,或者如果在发布后发现漏洞,创建补丁来修复漏洞。

什么是 CVSS?

软件开发人员、漏洞研究人员和威胁管理团队使用通用漏洞评分系统来识别软件漏洞。CVSS
提供了一个标准化的评分系统来评估软件漏洞的严重性。然后可以有效地优先考虑这些威胁以及消除它们所需的行动。

现在,CVSS 由美国非营利性公司事件响应和安全团队论坛 (FIRST)
拥有和管理,并得到来自各个行业的一组代表的支持,这些代表致力于帮助保护组织免受网络威胁。

分数是如何计算的?

CVSS 分数结合了三组指标:

基本指标

基本分数代表漏洞的特征,并且在用户环境中是一个常数。基础分数结合了三个子分数元素:

可利用性

评估了漏洞被利用的难易程度,并基于另外四个子组件:

攻击向量——对利用漏洞所需的访问级别进行评分。如果一个漏洞可以被远程利用,那么它的得分将高于只有物理存在时才能利用的漏洞。

攻击复杂性——评估攻击者控制范围之外的因素,这些因素会影响他们利用漏洞的潜力。如果攻击者在没有任何附加信息的情况下很容易利用该漏洞,那么它就会获得高分。

所需权限——该分数基于攻击者利用漏洞所需的权限级别。如果需要高级身份验证,那么它的得分将低于不需要身份验证的得分。

用户交互——这个分数取决于攻击者是否需要其他用户的操作来利用漏洞。例如,攻击者可能需要用户下载会计和税务服务模板的提案,以激活他们注入的代码以利用他们的软件漏洞。如果攻击者可以在没有其他用户进一步操作的情况下完成他们的任务,则得分会更高。

影响

影响分值衡量攻击的潜在后果,包含三个因素:

保密性——反映可能被泄露或丢失的数据量。

完整性——对攻击者可以对系统中的数据施加的操纵程度和数据的可信性进行评分,应用ACID原则等特性进行攻击。

可用性——反映了攻击对其他用户访问系统的能力的影响。如果系统受到攻击后其他人无法访问该系统,则得分将很高。

范围

这主要关注攻击对系统中其他组件的影响能力。如果漏洞允许潜在的攻击者访问系统的其他区域,那么它将获得高分。

时间指标

这些漏洞可能会随着时间的推移而变化,并且基于已知可利用的漏洞以及修补这些漏洞的可用性或方法。例如,一个企业托管的VoIP软件包可能会发现一个新的漏洞,但可能需要几个月的时间来开发一个补丁来保护它。

一个新的漏洞,如果没有任何方法来纠正它,风险是很高的。如果提供了补丁或更新来保护漏洞,得分可以降低。

时间指标基于:

利用代码成熟度——这反映了利用漏洞所需的工具和方法的可用性。

修复级别——此分数取决于何时可以使用适当的修复来修复漏洞。

报告置信度——衡量对报告准确性的置信度。如果在没有证据的情况下报告漏洞,则得分较低。

环境指标

此分数对于发现漏洞的环境是唯一的。它的独特之处在于它需要一种基于风险的方法,该方法考虑组织的安全协议、易受攻击的组件对其系统的重要性以及任何安全漏洞对漏洞的影响。

使用环境指标来定制基础分数,考虑以下因素:

可访问性——评估漏洞对单个系统组件的影响。非特权用户终端的得分将低于管理员终端。

安全性——评估安全协议以减少潜在的攻击。例如,远程办公人员使用虚拟专用网络来消除对互联网的直接访问。

CVSS 分数

CVSS 分数范围从 0.0(无威胁)到 10.0(严重威胁)。

基础分数包括可利用性和影响分数。但是,时间和环境评分通过考虑时间点和用户环境,有助于更深入地了解漏洞。

基本和时间分数通常由软件制造商生成,他们将使用详细的数据来识别测试期间的任何漏洞。然后,最终用户计算环境评分,他们可以识别任何可能影响漏洞威胁的独特因素,并更改基本和时间评分。

背景很重要

基础分数可以单独使用。要获得更准确的分数,可以应用时间和环境分数。只有最终用户知道他们使用软件的环境,以及这样做是否会增加或消除漏洞的威胁。

CVSS分数不反映通过漏洞攻击的潜在影响或可能性,因此应用上下文是重要的。不要仅仅依赖于CVSS分数来保护对你的组织至关重要的系统。

黑客并不关注高分漏洞。利用低分漏洞可能对他们来说更有利可图,特别是如果忽略该漏洞而将注意力集中在得分较高的漏洞上。

如何应用 CVSS 分数

一个有效的漏洞管理团队将使用 CVSS
分数作为基础,然后应用环境和时间分数以及他们独有的变量,以更准确地了解漏洞的可利用性及其可能对其组织产生的影响。此外还需要结合企业的其他法规,来评定利用该漏洞可能造成的潜在损害并确定修补的优先级。

可以使用在线数据库和威胁情报工具来修改基本 CVSS
分数。这些可以帮助您应用环境变量来确定漏洞的可利用性和影响。然后,您可以优先考虑那些一旦被利用就会对您的组织造成最大危险的漏洞。

总结CVSS

软件漏洞带来的无穷无尽的风险给虚拟机管理人员带来了挑战。CVSS帮助识别潜在漏洞并评估其严重性的关键工具。标准化平台有助于简化组织的流程,以帮助加强其IT安全。

文章来源:

https://www.cybersecurity-insiders.com/understanding-cvss-applications-of-
the-common-vulnerability-scoring-system/

网络安全工程师企业级学习路线

这时候你当然需要一份系统性的学习路线

如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。

一些我收集的网络安全自学入门书籍

一些我白嫖到的不错的视频教程:

上述资料【扫下方二维码】就可以领取了,无偿分享

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/835519.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

笔记:Android 9系统启动流程

启动流程 1.按下电源,系统启动 当电源键按下时,引导芯片代码(汇编指令)会从预定的地方(固化在ROM)开始执行,将引导程序 BootLoader 加载到 RAM中,然后执行 2.引导程序 BootLoader …

箭头函数和普通函数的区别

1. 写法不同 const arrayFn (a, b) > a b; function add(a, b) > {return a b; }2. 内部this的指向不同 window.a 1;// 箭头函数中的this在定义时就已经固定,不会因为调用对象的不同而改变 const loga () > {const a 2;return this.a; }// this在该…

【C语言学习】逃逸字符(转义字符)

逃逸字符(转义字符) 1.\" 双引号 \" printf("请分别输入身高的英尺和英寸,""如输入\"5 7\"表示5英尺7英寸:");这里的"\就是双引号的作用,因为在双引号里面直接用双引号无意义&…

C++问题记录:VS中使用cout输出vsnprintf()产生的字符串有乱码

1. 问题介绍 使用Visual Studio开发一个C项目的时候,使用vsnprintf()生成格式化字符串,在使用std::cout输出该字符串的时候产生乱码,但是使用printf()输出的结果是正常的,下面是相关代码和结果,如有指教,欢…

量子力学的挑战和未来:未解决的问题和可能的发展方向

亲爱的读者, 欢迎回到我们的量子力学系列文章。在前面的几篇文章中,我们已经深入探讨了量子力学的起源、基本概念、实验验证以及应用领域,包括量子计算、量子通信和量子感应。今天,我们将探讨量子力学所面临的挑战以及未来可能的…

【雕爷学编程】 MicroPython动手做(34)——通用传感器的综合运用2

知识点:什么是掌控板? 掌控板是一块普及STEAM创客教育、人工智能教育、机器人编程教育的开源智能硬件。它集成ESP-32高性能双核芯片,支持WiFi和蓝牙双模通信,可作为物联网节点,实现物联网应用。同时掌控板上集成了OLED…

@ControllerAdvice注解使用及原理探究 | 京东物流技术团队

最近在新项目的开发过程中,遇到了个问题,需要将一些异常的业务流程返回给前端,需要提供给前端不同的响应码,前端再在次基础上做提示语言的国际化适配。这些异常流程涉及业务层和控制层的各个地方,如果每个地方都写一些…

【云原生】Docker中容器管理常用所有命令

1.docker 容器创建流程 2.容器运行本质 docker run [OPTIONS] IMAGE [COMMAND] [ARG...] 创建容器基本选项:--name:为容器命名 -i:交互式创建容器 -d:后台创建容器 -t:为容器分配伪终端 Docker 容器存在的意义就是为…

Demystifying Prompts in Language Models via Perplexity Estimation

Demystifying Prompts in Language Models via Perplexity Estimation 原文链接 Gonen H, Iyer S, Blevins T, et al. Demystifying prompts in language models via perplexity estimation[J]. arXiv preprint arXiv:2212.04037, 2022. 简单来说就是作者通过在不同LLM和不同…

如何提升自信更好地面对挑战

简而言之:扬长避短,做自己。 动态 - CSDN AI话痨: 提升自信是面对挑战的关键之一。以下是一些方法可以帮助你提升自信,更好地面对挑战: 自我认知:了解自己的优点和缺点,认识到自己的强项和弱…

无涯教程-Perl - Subroutines(子例程)

定义子程序 Perl编程语言中 Subroutine子程序定义的一般形式如下: sub subroutine_name {body of the subroutine } 调用该Perl Subroutine的典型方式如下- subroutine_name( list of arguments ); 在Perl 5.0之前的版本中,调用 Subroutine的语法略有不同&…

【LeetCode】相同的树、 翻转二叉树 、对称二叉树

100.相同的树 两棵树相同的条件就是根节点及他们的左右子树的值val相同,结构相同,就是一模一样,那这道题最终还是要同时遍历两个树的,并且还得遍历完,那如果我们在遍历的过程中,通过设置一些不满足相同的树…

【知识图谱】图数据库Neo4jDesktop的安装图文详解(小白适用)

neo4j 的安装需要有jdk环境的支持。因此在安装Neo4j之前,需要安装Java JDK。 一.安装JDK 参考文章https://blog.csdn.net/weixin_41824534/article/details/104147067?spm1001.2014.3001.5502 二.Neo4j下载 进入Neo4j官网 选择下载中心 下滑选择Neo4j Deskto…

Python渗透测试编程——AES与DES算法

一、AES简介 AES(Advanced Encryption Standard,高级加密标准)的出现,是因为以前使用的DES算法密钥长度较短,已经不适应当今数据加密安 全性的要求,因此2000年10月2日,美国政府宣布将比利时密码…

多雷达协同探测技术研究进展:认知跟踪与资源调度算法

源自:雷达学报 作者:易伟 袁野 刘光宏 葛建军 孔令讲 杨建宇 1. 引 言 雷达是信息感知的千里眼,具有极高的军用和民用价值,广泛应用在防空预警、遥感测绘、反恐维稳等领域[1–5]。雷达信息获取与探测技术也一直是大国竞相抢占…

window中,关闭java占用端口的进程

查看端口被占用的情况 netstat -ano|findstr "端口号"使用Tasklist查看对于 PID 的进程名 tasklist|findstr "PID号"通过 taskkill 命令方式结束进程 taskkill /f /t /im Pid

更新k8s环境支付系统支付证书

目录 一、背景 二、更新支付系统银行证书 三、备份旧的secret信息 四、更新支付应用的证书信息 五、重启支付系统的应用 六、验证应用实例挂载的秘钥已更新 一、背景 支付系统是基于k8s容器化部署的微服务,支付系统使用的支付证书以及和银行有关的证书都是保存…

SpringBoot中事务失效的原因

SpringBoot中事务失效的原因 文章目录 SpringBoot中事务失效的原因一、事务方法非public修饰二、非事务方法调用事务方法三、事务方法的异常被捕获四、事务异常类型不对五、事务传播行为不对六、没有被Spring管理6.1、暴漏代理对象6.2、使用代理对象 常见的事务失效原因包括如下…

《Flask Web 开发指南 pt.2》

在编写 Flask 程序的时候,你需要注意你的程序文件不要命名为 flask.py,建议命名为 app.py 或者 wsgi.py 但如果你的程序不是叫 app.py 或者 wsgi.py,那么你就需要设置环境变量 FLASK_APP 的值为程序名字 设置环境变量有两种方法,在…

聚观早报 | 腾讯字节等企业驰援防汛救灾;新能源车7月销量单出炉

【聚观365】8月4日消息 腾讯字节等企业驰援防汛救灾新能源车7月销量成绩单出炉Model Y等车型低温续航衰减严重华为Mate60系列猜想图曝光支付宝做短视频引来羊毛党 腾讯字节等企业驰援防汛救灾 近日,京津冀地区遭遇极端降雨天气,引发洪涝和地质灾害&…