昨天介紹了CVSS的一些歷史發展,以及CVSSv3.0的項目介紹及基本矩陣群,今天繼續來介紹暫時矩陣群及環境矩陣群是在做什麼的呢?
首先,昨天有提到CVSS分數是由三個矩陣所決定,也就是基本矩陣群 (Base metric group)、暫時矩陣群 (Temporal metric group)及環境矩陣群 (Environmental metric group),但基本分數是由基本矩陣群所決定,其他兩個矩陣群則是進階選項,那其他兩項要在什麼時候使用呢?其實這三個矩陣的概念是在CVSSv1的時候就已經提出,但隨著演進,三個矩陣內含評估項目在每一代的CVSS編號都不大一樣。
1. 基本矩陣群 (Base metric group)
在此評估不會隨著時間及使用者環境更改的漏洞特徵。
2. 暫時矩陣群 (Temporal metric group)
在此評估隨著時間更改,且不存在於使用者環境中的漏洞特徵。
3. 環境矩陣群 (Environmental metric group)
在此評估與使用者環境相關且獨特的漏洞特徵。
(圖片來源:https://www.first.org/cvss/v1/guide )
就也是為什麼昨天會說大部分的地方都只使用了基本矩陣群的部分,因為暫時矩陣群與環境矩陣群是隨著時間跟使用者自身的使用環境而且有差異的,所以大家取得基本矩陣得到的分數後,可以再配合漏洞發出至今的各項特徵,以及目前使用環境的差異來得出最精密的漏洞分數,且後兩項屬於因應時間或個人差異所微調出的分數,所以並不會影響到一開始的基本矩陣內容及分數。
接下來先介紹暫時矩陣群吧,暫時矩陣群的各項內容會隨著時間過去也可能會有不同的答案:
1. 攻擊程式碼成熟度 (Exploit Code Maturity, E)
2. 修復程度 (Remediation Level, RL)
3. 現有漏洞報告可信度 (Report Confidence, RC)
接著是環境矩陣群,這個部份讓使用者可以根據自己組織的基礎建設,評估基本矩陣的各項數值是否需要調整,因此這個部分的選項都是相對基本矩陣的答案來做選擇,在此分為安全需求及基本矩陣項目是否修改兩大項。
1. 安全需求 (Security Requirements):
(1) 機密性需求 (Confidentiality Requirement, CR)
(2) 完整性需求 (Integrity Requirement, IR)
(3) 可用性需求 (Availability Requirement, AR)
2. 基本矩陣項目是否修改 (Modified Base Metrics):
這邊的項目跟選項跟基本矩陣是一樣的,只是如果使用者的組織因自身環境或設備差異,導致與基本矩陣的答案有所差異時,就可以在這邊重新選擇並修改。
(基本矩陣項目介紹傳送門:https://ithelp.ithome.com.tw/articles/10203313 )
以上就是今天介紹更完整的介紹了CVSSv3.0的各項評分標準,有任何指教也歡迎提出囉~
參考資料:
[1] https://www.first.org/cvss/v1/guide
[2] https://www.first.org/cvss/v2/guide