{"id":476525,"date":"2023-08-09T07:29:55","date_gmt":"2023-08-09T07:29:55","guid":{"rendered":""},"modified":"2023-09-05T11:12:55","modified_gmt":"2023-09-05T11:12:55","slug":"cvss","status":"publish","type":"wiki","link":"https:\/\/oneproxy.pro\/my\/wiki\/cvss\/","title":{"rendered":"CVSS"},"content":{"rendered":"<p>CVSS, atau Common Vulnerability Scoring System, ialah rangka kerja terbuka yang diseragamkan untuk menilai tahap keterukan kelemahan keselamatan sistem komputer. Ia membolehkan profesional dan organisasi IT mengutamakan tindak balas terhadap risiko keselamatan dengan cara yang konsisten dan termaklum. CVSS menyediakan cara untuk menangkap ciri-ciri utama kelemahan dan menghasilkan skor berangka yang mencerminkan keterukannya, dengan mengambil kira metrik asas, temporal dan persekitaran.<\/p>\n<h2>Kejadian CVSS<\/h2>\n<p>CVSS berasal sebagai inisiatif daripada National Infrastructure Advisory Council (NIAC) di Amerika Syarikat. Pada awal 2000-an, NIAC mengiktiraf keperluan untuk sistem standard untuk menilai kelemahan IT untuk mengurus dan mengurangkan potensi ancaman kepada infrastruktur dengan lebih baik.<\/p>\n<p>Versi pertama CVSS (CVSS v1) telah dikeluarkan pada tahun 2005 oleh Forum Pasukan Tindak Balas Insiden dan Keselamatan (FIRST). Alat ini direka bentuk untuk memberikan penilaian kerentanan bersatu, membantu dalam proses membuat keputusan untuk pasukan tindak balas keselamatan. Sejak itu, ia telah dikemas kini dan dipertingkatkan, dengan versi ketiga dan terkini (CVSS v3.1) diterbitkan pada 2019.<\/p>\n<h2>Pandangan Lebih Dalam ke dalam CVSS<\/h2>\n<p>CVSS direka bentuk terutamanya untuk menyediakan ukuran yang saksama terhadap keterukan kelemahan. Sistem pemarkahan membolehkan organisasi memberi tumpuan kepada isu paling penting yang mungkin dihadapi oleh sistem mereka. Ia bukan sekadar alat untuk pengelasan, tetapi juga panduan untuk mengambil tindakan yang sewajarnya sebagai tindak balas kepada ancaman.<\/p>\n<p>Skor CVSS berkisar antara 0 hingga 10, di mana 0 mewakili tiada risiko dan 10 menunjukkan tahap keterukan tertinggi. Markah ini dikira berdasarkan tiga kumpulan metrik:<\/p>\n<ul>\n<li>\n<p><strong>Metrik Asas<\/strong>: Ini adalah ciri-ciri kerentanan yang berterusan dari semasa ke semasa dan persekitaran pengguna, seperti vektor serangan, kerumitan, keistimewaan yang diperlukan, interaksi pengguna, skop dan kesan kepada kerahsiaan, integriti dan ketersediaan.<\/p>\n<\/li>\n<li>\n<p><strong>Metrik Temporal<\/strong>: Metrik ini berubah dari semasa ke semasa dan menangani keadaan semasa kelemahan. Ia termasuk kebolehgunaan, tahap pemulihan dan keyakinan laporan.<\/p>\n<\/li>\n<li>\n<p><strong>Metrik Alam Sekitar<\/strong>: Metrik ini khusus untuk persekitaran pengguna, seperti potensi kerosakan cagaran, pengedaran sasaran dan keperluan keselamatan.<\/p>\n<\/li>\n<\/ul>\n<h2>Membongkar Rangka Kerja CVSS<\/h2>\n<p>Rangka kerja CVSS direka untuk menangkap dan menyampaikan maklumat tentang kelemahan dalam format yang konsisten dan mudah difahami. Strukturnya adalah berdasarkan rentetan vektor dan mekanisme pemarkahan:<\/p>\n<ul>\n<li>\n<p><strong>Rentetan Vektor<\/strong>: Ini ialah perwakilan teks ringkas bagi metrik yang digunakan untuk mengira skor. Setiap metrik diberi nilai yang menandakan potensi kesannya. Sebagai contoh, dalam CVSS v3.1, rentetan vektor mungkin kelihatan seperti ini: CVSS:3.1\/AV:N\/AC:L\/PR:N\/UI:N\/S:U\/C:H\/I:H\/A :H.<\/p>\n<\/li>\n<li>\n<p><strong>Mekanisme Pemarkahan<\/strong>: Selepas memberikan nilai kepada metrik dalam rentetan vektor, formula digunakan untuk menjana skor asas. Skor temporal dan persekitaran kemudiannya diperoleh daripada skor asas menggunakan formula yang berbeza.<\/p>\n<\/li>\n<\/ul>\n<h2>Ciri-ciri Utama CVSS<\/h2>\n<p>Beberapa ciri penting rangka kerja CVSS termasuk:<\/p>\n<ul>\n<li>Sistem pemarkahan piawai untuk penilaian kerentanan yang konsisten<\/li>\n<li>Kebolehgunaan luas untuk pelbagai jenis sistem dan kelemahan<\/li>\n<li>Membolehkan pelarasan khusus temporal dan persekitaran<\/li>\n<li>Telus dan terbuka untuk digunakan oleh sesiapa sahaja<\/li>\n<li>Metrik terperinci memberikan pandangan mendalam tentang kelemahan<\/li>\n<li>Direka untuk membantu dalam mengutamakan usaha pemulihan<\/li>\n<\/ul>\n<h2>Jenis-jenis CVSS<\/h2>\n<p>Terdapat tiga versi CVSS yang telah diterbitkan setakat ini:<\/p>\n<ol>\n<li><strong>CVSS v1<\/strong> (2005): Versi awal, menyediakan kaedah piawai untuk menilai kelemahan IT.<\/li>\n<li><strong>CVSS v2<\/strong> (2007): Diperbaiki pada versi pertama dengan metrik yang lebih halus dan memperkenalkan skor Temporal dan Alam Sekitar.<\/li>\n<li><strong>CVSS v3.1<\/strong> (2019): Versi terkini, menawarkan penambahbaikan dan penjelasan lanjut tentang takrifan metrik Asas, Temporal dan Alam Sekitar.<\/li>\n<\/ol>\n<h2>Menggunakan CVSS: Isu dan Penyelesaian<\/h2>\n<p>Aplikasi utama CVSS adalah dalam pengurusan kerentanan dan proses tindak balas insiden. Organisasi menggunakan skor CVSS untuk mengutamakan usaha pemulihan berdasarkan tahap keterukan kelemahan. Walau bagaimanapun, sistem pemarkahan tidak mengambil kira konteks perniagaan sesebuah organisasi, yang boleh mengakibatkan peruntukan sumber tidak cekap jika digunakan secara berasingan.<\/p>\n<p>Penyelesaiannya adalah untuk menggabungkan skor CVSS dalam rangka kerja pengurusan risiko yang lebih besar yang mempertimbangkan kesan perniagaan dan keperluan keselamatan khusus. Dengan cara ini, syarikat boleh mencipta pendekatan yang seimbang ke arah pengurusan kelemahan.<\/p>\n<h2>Membandingkan CVSS dengan Piawaian Lain<\/h2>\n<p>Terdapat sistem lain untuk menilai kerentanan IT, tetapi CVSS menonjol kerana sifatnya yang komprehensif, keterbukaan dan penerimaan yang meluas. Berikut adalah perbandingan ringkas:<\/p>\n<table>\n<thead>\n<tr>\n<th><\/th>\n<th>CVSS<\/th>\n<th>Kaedah Penilaian Risiko OWASP<\/th>\n<th>TAKUT<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Open Standard<\/td>\n<td>ya<\/td>\n<td>Tidak<\/td>\n<td>Tidak<\/td>\n<\/tr>\n<tr>\n<td>Julat Skor<\/td>\n<td>0-10<\/td>\n<td>Tahap risiko (Rendah hingga Kritikal)<\/td>\n<td>0-10<\/td>\n<\/tr>\n<tr>\n<td>Faktor<\/td>\n<td>Kerahsiaan, Integriti, Ketersediaan, Kebolehgunaan, Pemulihan, Keyakinan Laporan<\/td>\n<td>Ejen Ancaman, Kerentanan, Kesan<\/td>\n<td>Kerosakan, Kebolehulangan, Kebolehgunaan, Pengguna Terjejas, Kebolehtemuan<\/td>\n<\/tr>\n<tr>\n<td>Penggunaan Metrik Temporal dan Alam Sekitar<\/td>\n<td>ya<\/td>\n<td>Tidak<\/td>\n<td>Tidak<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Masa depan CVSS<\/h2>\n<p>Apabila ancaman siber terus berkembang, begitu juga dengan CVSS. Komuniti sedang giat berusaha untuk memperhalusi sistem pemarkahan untuk menggambarkan dengan lebih baik keterukan kelemahan. AI dan teknologi pembelajaran mesin mungkin disepadukan untuk mengautomasikan proses pemarkahan CVSS dan menjadikannya lebih tepat.<\/p>\n<p>Tambahan pula, versi CVSS akan datang mungkin menggabungkan metrik yang lebih pelbagai untuk menampung landskap ancaman siber yang sentiasa berubah, termasuk peranti IoT, sistem kawalan industri dan banyak lagi.<\/p>\n<h2>Pelayan Proksi dan CVSS<\/h2>\n<p>Pelayan proksi, seperti yang disediakan oleh OneProxy, boleh memainkan peranan penting dalam mengurus kelemahan dan menggunakan skor CVSS. Dengan bertindak sebagai perantara untuk permintaan daripada pelanggan, pelayan proksi boleh menapis trafik berniat jahat, mengurangkan permukaan serangan dan potensi kelemahan.<\/p>\n<p>Selain itu, menggunakan pelayan proksi dengan proses pengurusan kerentanan yang teguh (termasuk CVSS) boleh menawarkan perlindungan yang dipertingkatkan. Memandangkan pelayan proksi mengelog trafik, mereka boleh menyediakan data berharga untuk audit keselamatan dan membantu dalam mengenal pasti potensi kelemahan.<\/p>\n<h2>Pautan Berkaitan<\/h2>\n<p>Untuk maklumat lanjut mengenai CVSS, rujuk sumber berikut:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.first.org\/cvss\/user-guide\" target=\"_new\" rel=\"noopener nofollow\">Panduan CVSS PERTAMA<\/a><\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln-metrics\/cvss\/v3.1\/specification-document\" target=\"_new\" rel=\"noopener nofollow\">Spesifikasi NVD CVSS v3.1<\/a><\/li>\n<li><a href=\"https:\/\/www.nist.gov\/cyberframework\/online-learning\/cvss\" target=\"_new\" rel=\"noopener nofollow\">Gambaran Keseluruhan CVSS NIST<\/a><\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln-metrics\/cvss\/v3-calculator\" target=\"_new\" rel=\"noopener nofollow\">Kalkulator CVSS<\/a><\/li>\n<\/ul>\n<p>Memahami dan menggunakan CVSS adalah penting bagi mana-mana organisasi yang ingin meningkatkan pengurusan kelemahan mereka dan keseluruhan postur keselamatan siber. Dengan menyepadukan CVSS ke dalam rangka kerja penilaian risiko mereka, perniagaan boleh memastikan mereka mengutamakan dan bertindak balas terhadap kelemahan dengan berkesan.<\/p>","protected":false},"featured_media":476526,"menu_order":0,"template":"","meta":{"_acf_changed":false,"content-type":"","inline_featured_image":false,"footnotes":""},"class_list":["post-476525","wiki","type-wiki","status-publish","has-post-thumbnail","hentry"],"acf":{"faq_title":"Frequently Asked Questions about <mark>Understanding CVSS: The Common Vulnerability Scoring System<\/mark>","faq_items":[{"question":"What is the Common Vulnerability Scoring System (CVSS)?","answer":"<p>CVSS is a standardized, open framework for assessing the severity of computer system security vulnerabilities. It provides a way to capture the main characteristics of a vulnerability and produce a numerical score reflecting its severity. The scores range from 0 to 10, with 0 representing no risk and 10 indicating the highest level of severity.<\/p>"},{"question":"Who developed CVSS and when was it first introduced?","answer":"<p>CVSS was initially developed by the Forum of Incident Response and Security Teams (FIRST) under the recommendation of the National Infrastructure Advisory Council (NIAC) in the United States. The first version of CVSS (CVSS v1) was introduced in 2005.<\/p>"},{"question":"What are the three metric groups used in CVSS?","answer":"<p>The three metric groups used in CVSS are Base Metrics, Temporal Metrics, and Environmental Metrics. Base Metrics are constant characteristics of a vulnerability, Temporal Metrics change over time and deal with the current state of the vulnerability, and Environmental Metrics are specific to a user\u2019s environment.<\/p>"},{"question":"What does a CVSS score range signify?","answer":"<p>CVSS scores range from 0 to 10. A score of 0 represents no risk, while a score of 10 indicates the highest level of severity or risk. The scores help organizations prioritize their responses and remediation efforts towards security vulnerabilities.<\/p>"},{"question":"How many versions of CVSS exist?","answer":"<p>There have been three versions of CVSS published so far: CVSS v1 in 2005, CVSS v2 in 2007, and CVSS v3.1 in 2019. Each version has brought refinements and improvements to the system.<\/p>"},{"question":"How does CVSS compare to other vulnerability assessment standards?","answer":"<p>While there are other systems for assessing IT vulnerabilities, CVSS stands out due to its comprehensive nature, openness, and widespread adoption. It uses a numerical scoring system and considers various factors such as confidentiality, integrity, availability, exploitability, remediation, and report confidence. It also uses temporal and environmental metrics, unlike many other standards.<\/p>"},{"question":"How can proxy servers be used with CVSS?","answer":"<p>Proxy servers, like those provided by OneProxy, can play a significant role in managing vulnerabilities and utilizing CVSS scores. They can filter out malicious traffic, reducing the attack surface and potential vulnerabilities. Additionally, they can provide valuable data for security audits and assist in identifying potential vulnerabilities when used as part of a robust vulnerability management process.<\/p>"},{"question":"What is the future perspective of CVSS?","answer":"<p>The future of CVSS includes refining the scoring system to better reflect the severity of vulnerabilities. It might incorporate AI and machine learning technologies to automate the CVSS scoring process. Furthermore, future versions may include more diverse metrics to accommodate new types of cyber threats, such as those involving IoT devices and industrial control systems.<\/p>"}]},"_links":{"self":[{"href":"https:\/\/oneproxy.pro\/my\/wp-json\/wp\/v2\/wiki\/476525","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/oneproxy.pro\/my\/wp-json\/wp\/v2\/wiki"}],"about":[{"href":"https:\/\/oneproxy.pro\/my\/wp-json\/wp\/v2\/types\/wiki"}],"version-history":[{"count":0,"href":"https:\/\/oneproxy.pro\/my\/wp-json\/wp\/v2\/wiki\/476525\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/oneproxy.pro\/my\/wp-json\/wp\/v2\/media\/476526"}],"wp:attachment":[{"href":"https:\/\/oneproxy.pro\/my\/wp-json\/wp\/v2\/media?parent=476525"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}