Chanzo: www.hackerone.com – Mwandishi: Hackerone. Mashirika yanahitaji kutambua, kuweka kipaumbele, na kurekebisha udhaifu huu haraka iwezekanavyo. CVSS ni kiwango cha bure na wazi cha tasnia ya kutathmini ukali wa udhaifu wa usalama wa mfumo wa kompyuta. Inazalisha alama ya nambari ya kudhoofika kwa msingi wa ukali wao. Mashirika yanaweza kuweka kipaumbele udhaifu wao kulingana na ikiwa hatari ya alama za CVSS ni ya chini, ya kati, au juu ya jukwaa lisilo la faida la Timu za Matukio na Timu za Usalama (kwanza) inamiliki na inasimamia CVSS. Asasi nyingi zimepitisha CVSS, pamoja na Idara ya Usalama wa Nchi ya Merika, Timu ya Majibu ya Dharura ya Kompyuta ya Merika, Amazon, Cisco, HP, Huawei, IBM, McAfee, Oracle, Qualys, na SAP. CVSS V2 dhidi ya CVSS V3: Ni tofauti gani? Baraza la kitaifa la Uhakikisho wa Miundombinu (NIAC) lilianzisha CVSS kwanza mnamo 2005, na mnamo 2007, lilitoa CVSS V2 kuonyesha vyema anuwai ya udhaifu. CVSS V3 ilianzishwa mnamo Juni 2015, ikianzisha mabadiliko ya alama ili kuonyesha jinsi ya kugundua udhaifu wa ulimwengu wa kweli kwa usahihi zaidi. CVSS v3.1 ilitolewa mnamo 2019, ikifafanua kuwa CVSS v3.1 hupima ukali wa hatari, sio hatari yake. Asasi za alama za CVSS zinahesabu alama za CVSS kulingana na metriki zilizowekwa katika vikundi vitatu ambavyo alama tofauti hutolewa. Vikundi hivi vya metric ni pamoja na: metriki za msingi Kikundi cha metric cha msingi kinawakilisha tabia ya asili ya hatari, yaani, zile ambazo hazibadilika kwa wakati au kwa mazingira tofauti ya watumiaji. Mashirika hutumia alama ya msingi ya CVSS kama metric muhimu ya ukali wa udhaifu. Inawaruhusu kupima athari za udhaifu kwenye mifumo yao na kuweka kipaumbele ambayo kwanza. Kikundi cha metric cha msingi kina metriki kadhaa ambazo kwa pamoja huunda alama ya msingi ya CVSS. Metrics hizi ni: metriki za unyonyaji: unyonyaji unaonyesha jinsi muigizaji mbaya anaweza kutumia udhaifu na kufafanua metriki nne maalum za unyonyaji: Vector ya shambulio inafafanua kiwango cha mwili au mtandao kupata mahitaji ya cybercriminal kwa unyonyaji Ugumu wa shambulio unamaanisha hali zinazoruhusu cybercriminal ya kutumia hatari. Upendeleo unaohitajika ni kiwango cha fursa cha mfumo kinachohitajika kutumia hatari. Mwingiliano wa mtumiaji unaonyesha ikiwa mtumiaji anahitaji kufanya chochote, kwa mfano, sasisha programu ambayo inawezesha cybercriminal kutumia udhaifu. Athari za athari: Athari inazingatia kile cybercriminal inaweza kufikia kwa kutumia hatari na kuvunja kwa metriki tatu: usiri unamaanisha idadi inayopatikana ya data ambayo cybercriminal ina baada ya kuingiza mfumo. Udhaifu ambao huonyesha duka la data pana la mfumo ni juu zaidi kuliko ile inayoonyesha rasilimali za ndani na zilizowekwa. Uadilifu unazingatia ikiwa data iliyolindwa ilibadilishwa na au kubadilishwa. Vituo vya upatikanaji juu ya uwezo wa kukataa huduma kwa watumiaji na data zao. Metriki za wigo: Upeo ni ikiwa hatari katika mfumo mmoja au sehemu huathiri mfumo mwingine au sehemu. Metriki za msingi hutoa alama kati ya sifuri (kiwango cha chini cha hatari) na kumi (kiwango cha juu cha hatari). Mashirika yanaweza kurekebisha metriki ya msingi kwa kufunga metrics za kidunia na za mazingira. Metriki za muda za muda hubadilika kwa wakati, kupima hali ya sasa ya hatari na kupatikana kwa viraka. Metriki tatu katika kundi hili ni: Kunyonya ukomavu wa kanuni, kiwango cha kurekebisha, na kuripoti kujiamini. Kutumia ukomavu wa kanuni hupima jinsi ilivyo ngumu kwa cybercriminal kutumia hatari. Kiwango cha urekebishaji hupima ikiwa kuna kiraka au kazi ya kupunguza mazingira magumu. Ripoti ya kujiamini inapima jinsi vyanzo vya ujasiri ni kwamba hatari inapatikana na kwamba inatumika. Metriki za mazingira za mazingira zinaruhusu mashirika kurekebisha metriki za msingi za CVSS kulingana na sababu maalum za biashara ambazo zinaweza kuongezeka au kupunguza ukali wa hatari. Metrics za mazingira zinajumuisha metriki za msingi za CVSS zilizobadilishwa na mahitaji ya usalama: metriki za msingi zilizorekebishwa: mashirika yanaweza kurekebisha maadili ya metriki ya msingi kwa kutekeleza udhibiti wa fidia au hatua za kupunguza ili kupunguza nafasi za cybercriminal zitanyonya hatari. Mahitaji ya usalama yanaelezea na alama ya mali kulingana na umuhimu wake kwa shirika linalopimwa katika usiri, uadilifu, na upatikanaji. Usiri ni uwezo wa kuficha data kutoka kwa watumiaji wasioidhinishwa. Uadilifu ni uwezo wa kupata data kutoka kubadilishwa kutoka asili. Upatikanaji ni jinsi data inavyopatikana kwa watumiaji walioidhinishwa kama inahitajika. Mali muhimu zaidi, juu ya alama. CVSS vs CVE CVSS na CVE ni viwango vya ziada lakini hazihusiani moja kwa moja. Udhaifu wa kawaida na mfiduo (CVE) catalogs za usalama zilizowekwa wazi na mfiduo na vitambulisho vya kipekee. Programu ya CVE hutoa vitambulisho vya kawaida kwa dosari zinazojulikana kwa umma, sio alama za ukali au makadirio ya kipaumbele kwa udhaifu. Alama za CVSS hupewa kila CVE kuashiria ukali wake. Hii inafanywa na hifadhidata ya kitaifa ya udhabiti, hifadhidata ya serikali ya Amerika ya data ya hatari ya msingi,. Mapungufu ya CVSS Ni muhimu kutambua kuwa alama za CVSS zinazopatikana hadharani hazijumuishi metric kamili ya CVSS. Zinaonyesha alama ya msingi tu. Hii ni metric generic ambayo hupima jinsi hatari ni hatari, lakini haitoi hatari maalum ambayo inaleta kwa kampuni yako. Ikiwa utaendesha skana ya hatari, nafasi ni kwamba utapata idadi kubwa ya udhaifu, wengi wao walio na alama ya juu ya CVSS. Swali ni – ni yupi kati ya haya anayeweza kusababisha uvunjaji wa usalama katika muktadha wako maalum? Kuelewa athari ndani ya mazingira yako inahitaji mambo mengine ya metric ya CVSS – ya muda na ya mazingira. Kuongeza mambo haya kunahitaji ufahamu wa kina wa shirika lako, teknolojia yake, na hatari maalum ambayo inakabiliwa. Kwa hivyo ni muhimu kukamilisha alama mbichi za CVSS na ufahamu zaidi unaotokana na mfano wa tishio na uchambuzi wa hatari ya mazingira yako ya IT. Je! Hackerone inawezaje kusaidia? Fanya kazi na Hackerone na jamii yetu ya Hacker, kubwa na tofauti zaidi ulimwenguni, kusaidia shirika lako kupata na kurekebisha udhaifu haraka. Hackerone hutumia CVSS, mfumo wa bao la kiwango cha tasnia, kuamua ukali wa udhaifu. Jukwaa letu la Hackerone linatoa upimaji kamili wa usalama unaoendelea ambao hupunguza hatari ya cyber na hupunguza nyuso za shambulio ili kuacha unyonyaji kabla ya kutokea. Wasiliana nasi ili ujifunze zaidi. URL ya chapisho la asili: https://www.hackerone.com/blog/what-common-vulnerability-scoring-system-cvss