روش های ارزيابی و رده بندی آسيب پذيری ها

تعدادی سيستم­های نمره دهی آسيب پذيری­ها که توسط سازمان­های تجاری و غير تجاری مديريت می­شوند، وجود دارند. هريک از اين سازمان­ها متريک­های خاص خود را دارند و در آنچه اندازه­گيری می­کنند با يکديگر متفاوت هستند. برخی از مهمترين اين سيستم­ها عبارتند از CERT/CC، تحليل آسيب پذيری SANS، سيستم نمره دهی رده بندی مايکروسافت، و [1]CVSS؛ در ادامه درباره اين سيستم­ها توضيحاتی داده می­شود.

CERT/CCيک عدد بين 0 تا 180 را به آسيب پذيری­ها نسبت می­دهد که نشان دهنده شدت آسيب پذيری است (سايت). فاکتور­هايي که برای اين نمره دهی در نظر گرفته می­شوند عبارتند از: آيا اطلاعات آسيب پذيری به شکل گسترده در دسترس هستند؟ آيا از آسيب پذيری بهره کشی شده است؟ آيا زير ساخت­های اينترنتي در خطر است؟ چه تعداد سيستم در اينترنت در معرض خطر اين آسيب پذيری هستند؟ بهره کشی از آسيب پذيری چه اثری دارد؟ بهره کشی از آسيب پذيری تا چه اندازه آسان است؟ چه نوع پيش شرط­هايي برای بهره کشی لازم است؟ با توجه به اين نکته که پاسخ اين سوالات تقريبی هستند و از فردی تا فرد ديگر متفاوت است، کاربران نمی­توانند با اطمينان کامل به اين متريک اعتماد کنند (20).

موسسه SANSيک شرکت خصوصی آمريکايي است که در زمينه امنيت اينترنت فعاليت می­کند. معيار تحليل آسيب پذيری SANS، اين نکته که آيا ضعفی در پيکر بندی پيش فرض يا سيستم مشتری و سرور وجود دارد، را برای رده بندی آسيب پذيری­ها در نظر می­گيرد (21).

 سيستم نمره دهی رده بندی مايکروسافت در تلاش است تا سختی بهره کشی و اثر کلی آسيب پذيری­ها را با يک متريک کيفی، منعکس کند. اين معيار آسيب پذيری­ها را در 4 دسته، بحرانی[2]، مهم[3]، متوسط[4]، خفيف[5] رده بندی می­کند (22).

CVSSمعروفترين سيستم ارزيابی آسيب پذيری­ها است و در ميان کاربران و سازمان­های مختلف به عنوان يک متريک استاندارد پذيرفته شده است (23). پذيرفته شدن CVSSبه عنوان يک استاندارد، انجام تحقيقات بسياری درباره اين روش را به همراه داشته است. با توجه به اهميت CVSSاين روش با جزئيات بيشتری بررسی می­شود.

[1] Common Vulnerability Scoring  System (CVSS)

[2] Critical

[3] Important

[4] Moderate

[5] Low

سيستم نمره دهی آسيب پذيری متعارف

CVSSاز سه گروه معيار پايه، زمانی و محيطی تشکيل شده است (24)، که هريک از آن­ها شامل مجموعه­ای از متريک­ها هستند که در تصوير 2-3 نشان داده شده است.

تصوير 2- 3: متريک­های CVSS (برگرفته از 24)

معيارپايه: مشخصات ذاتی و اوليه آسيب پذيری را که در گذر زمان و محيط­های کاربری ثابت هستند را نشان می­دهد.معيارزمانی: مشخصات آسيب پذيری را که در گذر زمان تغير می­کنند ولی در محيط­های کاربری ثابت هستند را نشان می­دهد. معيارمحيطی: مشخصات آسيب پذيری را که وابسته و منحصر به محيط­های کاربری خاص هستند را نشان می­دهد (25).

مقدار به دست آمده برای معيار پايه يک مقدار عددی بين 0 تا 10 می­باشد و برای به دست آوردن اين مقدار نياز به ساختن برداری از متريک­ها است که در تصوير 2-4 مشخص است. مقادير معيارهای زمانی و محيطی نيز عددی بين 0 تا 10 می­باشد و همان­طور که در شکل مشخص است اين سه معيار به صورت آبشاری به مقادير و بردارهای يکديگر وابسته هستند.

تصوير 2- 4: وابستگی متريک­های CVSS (برگرفته از 24)

تصاوير 2-5، 2-6 و 2-7 به ترتيب معادلات سه معيار پايه، زمانی و محيطی را نشان می­دهند.

BaseScore = round_to_1_decimal(((0.6*Impact)+(0.4*Exploitability)–1.5)*f(Impact))

 

Impact = 10.41*(1-(1-ConfImpact)*(1-IntegImpact)*(1-AvailImpact))

 

Exploitability = 20* AccessVector*AccessComplexity*Authentication

 

f(impact)= 0 if Impact=0, 1.176 otherwise

 

AccessVector       = case AccessVector of

requires local access: 0.395

adjacent network accessible: 0.646

network accessible: 1.0

 

AccessComplexity   = case AccessComplexity of

high: 0.35

medium: 0.61

low: 0.71

 

Authentication     = case Authentication of

requires multiple instances of authentication: 0.45

requires single instance of authentication: 0.56

requires no authentication: 0.704

 

ConfImpact         = case ConfidentialityImpact of

none: 0.0

partial: 0.275

complete: 0.660

 

IntegImpact        = case IntegrityImpact of

none: 0.0

partial: 0.275

complete: 0.660

 

AvailImpact        = case AvailabilityImpact of

none: 0.0

partial: 0.275

complete: 0.660

تصوير 2- 5: فرمول معيار پايه در CVSS

TemporalScore = round_to_1_decimal(BaseScore*Exploitability

*RemediationLevel*ReportConfidence)

 

Exploitability     = case Exploitability of

unproven: 0.85

proof-of-concept: 0.9

functional: 0.95

high: 1.00

not defined: 1.00

 

RemediationLevel   = case RemediationLevel of

official-fix: 0.87

temporary-fix: 0.90

workaround: 0.95

unavailable: 1.00

not defined: 1.00

 

ReportConfidence   = case ReportConfidence of

unconfirmed: 0.90

uncorroborated: 0.95

confirmed: 1.00

not defined: 1.00

تصوير 2- 6: فرمول معيار زمانی در CVSS

EnvironmentalScore = round_to_1_decimal((AdjustedTemporal+(10-AdjustedTemporal)

*CollateralDamagePotential)*TargetDistribution)

 

AdjustedTemporal   = TemporalScore recomputed with the BaseScore’s Impact subequation replaced with the AdjustedImpact equation

 

AdjustedImpact = min(10,10.41*(1-(1-ConfImpact*ConfReq)*(1-IntegImpact*IntegReq)

*(1-AvailImpact*AvailReq)))

 

CollateralDamagePotential = case CollateralDamagePotential of

none: 0

low: 0.1

low-medium: 0.3

medium-high: 0.4

high: 0.5

not defined: 0

 

TargetDistribution        = case TargetDistribution of

none: 0

low: 0.25

medium: 0.75

high: 1.00

not defined: 1.00

 

ConfReq                   = case ConfReq of

low: 0.5

medium: 1.0

high: 1.51

not defined: 1.0

 

IntegReq                  = case IntegReq of

low: 0.5

medium: 1.0

high: 1.51

not defined: 1.0

 

AvailReq                  = case AvailReq of

low: 0.5

medium: 1.0

high: 1.51

not defined: 1.0

تصوير 2- 7: فرمول معيار محيطی در CVSS

همانطور که پيش از اين ذکر شد CVSSتقريباً به عنوان متريک استاندارد برای رده بندی آسيب پذيری­ها پذيرفته شده است و تاکنون تحقيقات زيادی جهت ارزيابی و بهبود اين روش انجام شده است که از ميان آن­ها می­توان به (26)، (27) و (28) اشاره کرد. يکی ديگر از تحقيقات جالب در اين زمينه (29) می­باشد. در اين مقاله يک روش برای ارزيابی ريسک نرم افزار ارائه شده است که از يک مدل تصادفی برای چرخه آسيب پذيری همراه با متريک­های اثر CVSSاستفاده می­کند. مدل تصادفی برای محاسبه احتمال وجود فرآيند در يک حالت خاص و متريک­های CVSSبرای تخمين اثر بهره کشی استفاده شده است.

در اين مقاله ريسک، با استفاده از متريک­های اثر CVSSتعريف شده است و در حالت iو زمان tبرابر است با :

Riski (t) = (α )3 * exploitation_impacti

 

که در آن Pi(t)احتمال اينکه يک سيستم در حالت iدر زمان tباشد را نشان می­دهد و exploitation_impactiبرابر است با

exploitation_impact= fc (IC RC, II RI, IA RA)

که در exploitation_impact، ICاثر قابليت اعتماد[1]، IIاثر يکپارچگی[2]، IAاثر دسترسی پذيری[3]، RCنياز قابليت اعتماد، RIنياز يکپارچگی، و RAنياز دسترسی پذيری در CVSSهستند.

تصوير 2-8 يک مدل ساده شده­ای از چرخه آسيب پذيری­ها، که در تحقيق (29) از آن استفاده شده است، را نشان می­دهد و تصوير 2-9 نتايج حاصل از اين تحقيق را به طور خلاصه نشان می­دهد.

تصوير 2- 8: مدل ساده شده­ای از چرخه آسيب پذيری­ها (برگرفته از 29)

تصوير 2- 9: احتمالات محاسبه شده؛ P0، P1، P2و P3برای تصوير 2-8 (محور افق زمان tرا نشان می­دهد) (برگرفته از 29)

[1] Confidentiality Impact

[2] Integrity Impact

[3] Availability Impact

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.