CVSS, atau Common Vulnerability Scoring System, ialah rangka kerja terbuka yang diseragamkan untuk menilai tahap keterukan kelemahan keselamatan sistem komputer. Ia membolehkan profesional dan organisasi IT mengutamakan tindak balas terhadap risiko keselamatan dengan cara yang konsisten dan termaklum. CVSS menyediakan cara untuk menangkap ciri-ciri utama kelemahan dan menghasilkan skor berangka yang mencerminkan keterukannya, dengan mengambil kira metrik asas, temporal dan persekitaran.
Kejadian CVSS
CVSS berasal sebagai inisiatif daripada National Infrastructure Advisory Council (NIAC) di Amerika Syarikat. Pada awal 2000-an, NIAC mengiktiraf keperluan untuk sistem standard untuk menilai kelemahan IT untuk mengurus dan mengurangkan potensi ancaman kepada infrastruktur dengan lebih baik.
Versi pertama CVSS (CVSS v1) telah dikeluarkan pada tahun 2005 oleh Forum Pasukan Tindak Balas Insiden dan Keselamatan (FIRST). Alat ini direka bentuk untuk memberikan penilaian kerentanan bersatu, membantu dalam proses membuat keputusan untuk pasukan tindak balas keselamatan. Sejak itu, ia telah dikemas kini dan dipertingkatkan, dengan versi ketiga dan terkini (CVSS v3.1) diterbitkan pada 2019.
Pandangan Lebih Dalam ke dalam CVSS
CVSS direka bentuk terutamanya untuk menyediakan ukuran yang saksama terhadap keterukan kelemahan. Sistem pemarkahan membolehkan organisasi memberi tumpuan kepada isu paling penting yang mungkin dihadapi oleh sistem mereka. Ia bukan sekadar alat untuk pengelasan, tetapi juga panduan untuk mengambil tindakan yang sewajarnya sebagai tindak balas kepada ancaman.
Skor CVSS berkisar antara 0 hingga 10, di mana 0 mewakili tiada risiko dan 10 menunjukkan tahap keterukan tertinggi. Markah ini dikira berdasarkan tiga kumpulan metrik:
-
Metrik Asas: Ini adalah ciri-ciri kerentanan yang berterusan dari semasa ke semasa dan persekitaran pengguna, seperti vektor serangan, kerumitan, keistimewaan yang diperlukan, interaksi pengguna, skop dan kesan kepada kerahsiaan, integriti dan ketersediaan.
-
Metrik Temporal: Metrik ini berubah dari semasa ke semasa dan menangani keadaan semasa kelemahan. Ia termasuk kebolehgunaan, tahap pemulihan dan keyakinan laporan.
-
Metrik Alam Sekitar: Metrik ini khusus untuk persekitaran pengguna, seperti potensi kerosakan cagaran, pengedaran sasaran dan keperluan keselamatan.
Membongkar Rangka Kerja CVSS
Rangka kerja CVSS direka untuk menangkap dan menyampaikan maklumat tentang kelemahan dalam format yang konsisten dan mudah difahami. Strukturnya adalah berdasarkan rentetan vektor dan mekanisme pemarkahan:
-
Rentetan Vektor: Ini ialah perwakilan teks ringkas bagi metrik yang digunakan untuk mengira skor. Setiap metrik diberi nilai yang menandakan potensi kesannya. Sebagai contoh, dalam CVSS v3.1, rentetan vektor mungkin kelihatan seperti ini: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A :H.
-
Mekanisme Pemarkahan: Selepas memberikan nilai kepada metrik dalam rentetan vektor, formula digunakan untuk menjana skor asas. Skor temporal dan persekitaran kemudiannya diperoleh daripada skor asas menggunakan formula yang berbeza.
Ciri-ciri Utama CVSS
Beberapa ciri penting rangka kerja CVSS termasuk:
- Sistem pemarkahan piawai untuk penilaian kerentanan yang konsisten
- Kebolehgunaan luas untuk pelbagai jenis sistem dan kelemahan
- Membolehkan pelarasan khusus temporal dan persekitaran
- Telus dan terbuka untuk digunakan oleh sesiapa sahaja
- Metrik terperinci memberikan pandangan mendalam tentang kelemahan
- Direka untuk membantu dalam mengutamakan usaha pemulihan
Jenis-jenis CVSS
Terdapat tiga versi CVSS yang telah diterbitkan setakat ini:
- CVSS v1 (2005): Versi awal, menyediakan kaedah piawai untuk menilai kelemahan IT.
- CVSS v2 (2007): Diperbaiki pada versi pertama dengan metrik yang lebih halus dan memperkenalkan skor Temporal dan Alam Sekitar.
- CVSS v3.1 (2019): Versi terkini, menawarkan penambahbaikan dan penjelasan lanjut tentang takrifan metrik Asas, Temporal dan Alam Sekitar.
Menggunakan CVSS: Isu dan Penyelesaian
Aplikasi utama CVSS adalah dalam pengurusan kerentanan dan proses tindak balas insiden. Organisasi menggunakan skor CVSS untuk mengutamakan usaha pemulihan berdasarkan tahap keterukan kelemahan. Walau bagaimanapun, sistem pemarkahan tidak mengambil kira konteks perniagaan sesebuah organisasi, yang boleh mengakibatkan peruntukan sumber tidak cekap jika digunakan secara berasingan.
Penyelesaiannya adalah untuk menggabungkan skor CVSS dalam rangka kerja pengurusan risiko yang lebih besar yang mempertimbangkan kesan perniagaan dan keperluan keselamatan khusus. Dengan cara ini, syarikat boleh mencipta pendekatan yang seimbang ke arah pengurusan kelemahan.
Membandingkan CVSS dengan Piawaian Lain
Terdapat sistem lain untuk menilai kerentanan IT, tetapi CVSS menonjol kerana sifatnya yang komprehensif, keterbukaan dan penerimaan yang meluas. Berikut adalah perbandingan ringkas:
| CVSS | Kaedah Penilaian Risiko OWASP | TAKUT | |
|---|---|---|---|
| Open Standard | ya | Tidak | Tidak |
| Julat Skor | 0-10 | Tahap risiko (Rendah hingga Kritikal) | 0-10 |
| Faktor | Kerahsiaan, Integriti, Ketersediaan, Kebolehgunaan, Pemulihan, Keyakinan Laporan | Ejen Ancaman, Kerentanan, Kesan | Kerosakan, Kebolehulangan, Kebolehgunaan, Pengguna Terjejas, Kebolehtemuan |
| Penggunaan Metrik Temporal dan Alam Sekitar | ya | Tidak | Tidak |
Masa depan CVSS
Apabila ancaman siber terus berkembang, begitu juga dengan CVSS. Komuniti sedang giat berusaha untuk memperhalusi sistem pemarkahan untuk menggambarkan dengan lebih baik keterukan kelemahan. AI dan teknologi pembelajaran mesin mungkin disepadukan untuk mengautomasikan proses pemarkahan CVSS dan menjadikannya lebih tepat.
Tambahan pula, versi CVSS akan datang mungkin menggabungkan metrik yang lebih pelbagai untuk menampung landskap ancaman siber yang sentiasa berubah, termasuk peranti IoT, sistem kawalan industri dan banyak lagi.
Pelayan Proksi dan CVSS
Pelayan proksi, seperti yang disediakan oleh OneProxy, boleh memainkan peranan penting dalam mengurus kelemahan dan menggunakan skor CVSS. Dengan bertindak sebagai perantara untuk permintaan daripada pelanggan, pelayan proksi boleh menapis trafik berniat jahat, mengurangkan permukaan serangan dan potensi kelemahan.
Selain itu, menggunakan pelayan proksi dengan proses pengurusan kerentanan yang teguh (termasuk CVSS) boleh menawarkan perlindungan yang dipertingkatkan. Memandangkan pelayan proksi mengelog trafik, mereka boleh menyediakan data berharga untuk audit keselamatan dan membantu dalam mengenal pasti potensi kelemahan.
Pautan Berkaitan
Untuk maklumat lanjut mengenai CVSS, rujuk sumber berikut:
Memahami dan menggunakan CVSS adalah penting bagi mana-mana organisasi yang ingin meningkatkan pengurusan kelemahan mereka dan keseluruhan postur keselamatan siber. Dengan menyepadukan CVSS ke dalam rangka kerja penilaian risiko mereka, perniagaan boleh memastikan mereka mengutamakan dan bertindak balas terhadap kelemahan dengan berkesan.
