- Access Vector: indica se uma vulnerabilidade é explorada localmente ou remotamente
- Access Complexity: mede a complexidade requerida para que um atacante consiga explorar o sistema alvo
- Authentication: indica se um atacante necessita ou não ser autenticado no sistema para conseguir explorar a vulnerabilidade
- Confidentiality Impact: mede o impacto na confidencialidade (nenhum / parcial / completo)
- Integrity Impact: indica o impacto na integridade
- Availability Impact: impacto na disponibilidade
- Impact Bias: permite atribuir maior impacto em um dos pilares da CIA sobre os demais
- Exploitability : indica se é possível ou não explorar a vulnerabilidade, podendo ser: "Unproven" (não há um exploit conhecido); "Proof of Concept" (foi criado uma prova de conceito inicando que a ameaça existe); "Functional"(quando um expoit está disponibilizado) e "High" (quando a vulnerabilidade está sendo explorada por um código malicioso ou mesmo manualmente)
- Remediation Level : informa se há uma solução conhecida: "Official Fix" quando o fabricante disponibilizou uma correção/patch; "Temporary Fix" (fornecida uma correção temporária pelo fabricante); "Workaround" e "Unavailable"
- Report Confidence: representa o grau de confiança na existência da vulnerabilidade e na credibilidade de sua divulgação (Unconfirmed/Uncorroborated/Confirmed)
- Collateral Damage Potential: mede o potencial de dano, podendo representar o risco de perda do equipamento físico, os danos de propriedade ou a perda de vida.
- Target Distribution: indica o tamanho relativo da quantidade de sistemas que são suscetíveis à vulnerabilidade (None; Low até 15%; Médio até 49% ou High - se acima de 50% dos sistemas são vulneráveis).
AV:[R,L]/AC:[H,L]/Au:[R,NR]/C:[N,P,C]/I:[N,P,C]/A:[N,P,C]/B:[N,C,I,A]e as métricas temporais são anexadas ao final do vetor com a sintaxe a seguir:
/E:[U,P,F,H]/RL:[O,T,W,U]/RC:[U,Uc,C]Esta sintaxe está descrito em uma página específica no site do NIST (http://nvd.nist.gov/cvss.cfm?vectorinfo). Exemplo:
A vulnerabilidade do Excel descoberta recentemente em 16/jun/06 (que permite a usuários remotos executarem códigos arbitrários), indicada no site do cert.org como TA06-167A, recebeu a Vulnerability Note VU#802324 e o CVE Name CVE-2006-3059 . Na página do National Vulnerability Database (NVD) do NIST há a descrição do problema pelo seu identificador CVE-2006-3059 e nele é apontado o score CVSS como sendo 5.6 (médio). O cálculo detalhado pode ser visto na página específica, acessada por um link colocado no resultado indicado como "CVSS Severity". Neste link as métricas são passadas como parâmetro ((AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N). Nesta página é possível alterar as medidas e obter um novo score de forma a representar a realidade da empresa.Este novo padrão de métricas para as vulnerabilidades vem sendo adotado pela indústria. A principal vantagem é no auxílio para a padronização das atividades de análise de riscos, e consequentemente pode ajudar numa avaliação mais precisa dos riscos operacionais e na definição do nível de criticidade/urgência na tomada de decisões e ações.
Veja também:
PS: Post atualizado em 21/07/2022.
Perfeito mestre Anchises, sem dúvida uma grande ferramenta para se aplicar em Security Assessment.
ResponderExcluirAbs.