iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 6
2
Security

資安補漏洞,越補越大洞系列 第 6

[Day 6] 這個漏洞有多嚴重? [下]

  • 分享至 

  • xImage
  •  

昨天介紹了CVSS的一些歷史發展,以及CVSSv3.0的項目介紹及基本矩陣群,今天繼續來介紹暫時矩陣群及環境矩陣群是在做什麼的呢?

首先,昨天有提到CVSS分數是由三個矩陣所決定,也就是基本矩陣群 (Base metric group)、暫時矩陣群 (Temporal metric group)及環境矩陣群 (Environmental metric group),但基本分數是由基本矩陣群所決定,其他兩個矩陣群則是進階選項,那其他兩項要在什麼時候使用呢?其實這三個矩陣的概念是在CVSSv1的時候就已經提出,但隨著演進,三個矩陣內含評估項目在每一代的CVSS編號都不大一樣。

1. 基本矩陣群 (Base metric group)
在此評估不會隨著時間及使用者環境更改的漏洞特徵。

2. 暫時矩陣群 (Temporal metric group)
在此評估隨著時間更改,且不存在於使用者環境中的漏洞特徵。

3. 環境矩陣群 (Environmental metric group)
在此評估與使用者環境相關且獨特的漏洞特徵。

https://ithelp.ithome.com.tw/upload/images/20181021/20107304lSBS3KZ89d.jpg
(圖片來源:https://www.first.org/cvss/v1/guide )

就也是為什麼昨天會說大部分的地方都只使用了基本矩陣群的部分,因為暫時矩陣群與環境矩陣群是隨著時間跟使用者自身的使用環境而且有差異的,所以大家取得基本矩陣得到的分數後,可以再配合漏洞發出至今的各項特徵,以及目前使用環境的差異來得出最精密的漏洞分數,且後兩項屬於因應時間或個人差異所微調出的分數,所以並不會影響到一開始的基本矩陣內容及分數。

接下來先介紹暫時矩陣群吧,暫時矩陣群的各項內容會隨著時間過去也可能會有不同的答案:

1. 攻擊程式碼成熟度 (Exploit Code Maturity, E)

  • Not Defined (X):尚未定義
  • Unproven (U):攻擊程式碼仍處於理論階段,或尚未有人撰寫出來
  • Proof-of-Concept (P):已可以找到概念驗證Proof-of-concept, Poc)的程式碼,但尚未能應用在大部分的系統中,僅能被技術熟練的攻擊者利用。
  • Functional (F):攻擊程式碼已被自動化,且容易被取得及執行。
  • High (H)

2. 修復程度 (Remediation Level, RL)

  • Not Defined (X):尚未定義
  • Official Fix (O):官方已經發布完整的修補或更新方案
  • Temporary Fix (T):官方已經發布暫時的解決方案,例如提供一個暫時可以移除漏洞風險的工具或設定方式
  • Workaround (W):已由非官方發布解決方案
  • Unavailable (U):尚未有解決方案,或是解決方案難以被應用

3. 現有漏洞報告可信度 (Report Confidence, RC)

  • Not Defined (X):尚未定義
  • Unknown (U):漏洞報告存在,但是無法確認漏洞成因或所造成的影響
  • Reasonable (R):有明確的細節描述漏洞,且漏洞的確造成一個以上可被驗證的影響,但研究人員無法得出漏洞的主要成因,或是因為無法取得程式碼,導致無法證實漏洞存在於程式碼中
  • Confirmed (C):存在詳細的技術報告,且有進一步的技術細節(如程式碼)可以證實漏洞

接著是環境矩陣群,這個部份讓使用者可以根據自己組織的基礎建設,評估基本矩陣的各項數值是否需要調整,因此這個部分的選項都是相對基本矩陣的答案來做選擇,在此分為安全需求及基本矩陣項目是否修改兩大項。

1. 安全需求 (Security Requirements):
(1) 機密性需求 (Confidentiality Requirement, CR)

  • Not Defined (X):尚未定義
  • Low (L):機密性受到損失會對組織及其員工、客戶僅有些許影響
  • Medium (M):機密性受到損失會對組織及其員工、客戶僅有嚴重影響
  • High (H) :機密性受到損失會對組織及其員工、客戶僅有災難性的影響

(2) 完整性需求 (Integrity Requirement, IR)

  • Not Defined (X):尚未定義
  • Low (L):完整性受到損失會對組織及其員工、客戶僅有些許影響
  • Medium (M):完整性受到損失會對組織及其員工、客戶僅有嚴重影響
  • High (H) :完整性受到損失會對組織及其員工、客戶僅有災難性的影響

(3) 可用性需求 (Availability Requirement, AR)

  • Not Defined (X):尚未定義
  • Low (L):可用性受到損失會對組織及其員工、客戶僅有些許影響
  • Medium (M):可用性受到損失會對組織及其員工、客戶僅有嚴重影響
  • High (H) :可用性受到損失會對組織及其員工、客戶僅有災難性的影響

2. 基本矩陣項目是否修改 (Modified Base Metrics):
這邊的項目跟選項跟基本矩陣是一樣的,只是如果使用者的組織因自身環境或設備差異,導致與基本矩陣的答案有所差異時,就可以在這邊重新選擇並修改。
(基本矩陣項目介紹傳送門:https://ithelp.ithome.com.tw/articles/10203313 )

以上就是今天介紹更完整的介紹了CVSSv3.0的各項評分標準,有任何指教也歡迎提出囉~

參考資料:
[1] https://www.first.org/cvss/v1/guide
[2] https://www.first.org/cvss/v2/guide


上一篇
[Day 5] 這個漏洞有多嚴重? [上]
下一篇
[Day 7] 漏洞種類百百種? [上]
系列文
資安補漏洞,越補越大洞30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
wrxue
iT邦好手 1 級 ‧ 2020-12-21 09:34:43

metric應解釋為評比指標而非矩陣?

我要留言

立即登入留言