Skip to main content

Zer da CVSS?

Puntuazio-sistema bat da CVSS (Common Vulnerability Score System), kalteberatasunen kritikotasuna sailkatzen duena, eta, hori horrela, bere ezaugarri nagusietan oinarritutako puntuazioa sortzea ahalbidetzen du sistema honek.

Publikoari irisgarria zaion estandar bat da sailkapen-kode hau, eta, hori horrela, modu erabat librean erabili daiteke. Erakunde erregulatzaile bat dago sistema horren atzean, hau da, FIRST Forum of Incident Response and Security Teams erakundea, irabazi-asmorik gabeko eta dokumentazioa erregularki eguneratzeaz eta bertsio bakoitzarekin hobekuntza berriak sartzeaz arduratzen dena erabiltzaileen premietara albait hobekien egokitzeko.

Gainera, CVSS oso ezaguna dela kontuan izanda, ohikoa da puntuazio-sistema hau publikoki ezagunak diren kalteberatasunen datu-baseetan aurkitzea, hala nola National Vulnerability Database (NVDB), Common Vulnerabilities and Exposures (CVE) edo Open Source Vulnerability Database (OSVDB).

Nola kalkulatzen da inpaktua CVSSrekin?

Kalteberatasun baten inpaktua zehazteko 0tik 10era bitarteko eskala erabiltzen da, kalteberatasun bat txiki gisa sailkatuz eragin dezakeen inpaktua 0.0 eta 3.9 bitartean badago; intentsitate ertaina 4.0 eta 6.9 bitartean badago, handia 7.0 eta 9.0 bitartean badago, eta kritikoa 9.0 eta 10 bitartean badago.

Cómo se calcula el impacto con CVSS

Hiru metrika mota erabiltzen dira kalteberatasunari lotutako puntuazioa kalkulatzeko: oinarriari, denborari eta inguruneari lotutakoak. Aurreko metrika bakoitza beste metrika talde batek osatzen du, hura modu zehatzagoan sailkatzen lagunduko dutenak.

Oinarri-metrikak

Erabiltzailearen denboran eta ingurunean zeharreko konstanteak dira. Puntuazio honek du pisurik handiena azken CVSS puntuazioa kalkulatzeko unean. Sailkapen horren barruan garrantzitsua da kontuan izatea eraso-bektorea, erasoaren konplexutasuna, beharrezkoak diren pribilejioak eta erabiltzailearekin gauzatzen den interakzioa. Horrela kalteberatasun bat zenbateraino den irisgarria sailkatu nahi du, eta ustiatua izateko baldintzak betetzen ote diren. Metrika horiek neurtzen dutena zera da, ekipamenduen barruan kalteberatasuna zenbaterainoko intentsitatearekin eragingo lukeen, kalteberatasun hori ustiatuz gero. Konfidentzialtasun-, integritate- eta erabilgarritasun-maila neurtuz sailkatzen da inpaktua.

CVSSren 3.0 bertsioan Scope edo irismena deitutako azpibanaketa berri bat gehitu zaio talde honi, eta ezaugarri honek kalteberatasun-osagaia ez den kalteberatasun baten inpaktua neurtu nahi du. Adibidez, hardware osagai baten barruko osagai kaltebera software-osagai bat izan ahalko litzateke.

Denbora-metrikak

Denboran aldatzen diren ezaugarriak dira, baina aldi berean erabiltzailearen ekosisteman konstanteak direnak. Kalteberatasunen ezaugarriak aldatu egin daitezke denboran zehar, eta aldaketa horiekin intentsitate-maila ere aldatzen da. Metrika hau kalkulatzeko kalteberatasunaren xehetasun teknikoak (ustiagarritasuna), zuzenketa-maila eta konfiantza-txostena hartzen dira kontuan. Azken horrek kodearen edo ustiapena ahalbidetzen duten tekniken erabilgarritasunari egiten dio erreferentzia. Argitu beharra dago metrika horiek aukerakoak direla, eta, hori horrela, erabiltzaileak omititu egin ahalko ditu egoki irizten dionean kalteberatasunaren ezaugarriak direla eta.

Ingurune-metrikak

Erabiltzaile baten ingurunerako errepikaezinak diren ezaugarrien taldea islatzen dute. Kalteberatasun batek erakunde batentzat izan dezakeen arriskuan eragin dezaketen ingurune desberdinek definitzen dituzte ezaugarri horiek. Metrika honen puntuazioa zehazteko alboko kalte posibleak eta helburuen banaketa hartu behar dira kontuan. Denbora-metrikekin gertatzen den bezala, konfidentzialtasun-, integritate- eta erabilgarritasun-eskakizunak islatzen dituen aukerako ezaugarriak ere baditu. Aukerakoak direnez ez dute inolako ondoriorik azken ebaluazioan.

Puntuazioa

Metrikei balioak esleitu ondoren, puntuazioak kalkulatzen du ekuazioa eta testu-kate bat sortzen du balio horiekin, puntuazio bakoitza zein modutan sortu zen jakinarazteko erabiltzen dena, eta, hori horrela, kalteberatasunaren kalifikazioarekin batera erakutsi ohi da bektorea.

Prozesu konplexua dirudien arren, bat baino gehiago dira kalteberatasunen puntuazioa kalkulatzen lagunduko diguten erremintak, sailkapena askoz ere arinagoa eginez. https://www.first.org/cvss/calculator/3.1 estekaren bidez FIRSTen kalkulagailu ofizialera sartu gaitezke kalteberatasunen puntuazioa lortzeko. Saguaren erakuslea metriken taldeen gainean uzten badugu aldez aurretik bildutako informazioaren laburpen txiki bat erakutsiko digu.

Sailkatzen ari garen kalteberatasunaren balio ezaugarriak hautatutakoan, automatikoki agertuko zaigu azken puntuazioa eta oinarri atalaren beheko aldean bektoreen katea ikusi ahalko dugu aukeratutako balioekin.

Bertsioak

CVSSren 3.1 bertsioaren dokumentazio ofiziala biltzen du dokumentu honek. https://www.first.org/ webgune ofizialean 1.0, 2.0 eta 3.0 bertsioetarako dokumentazioa aurkitu ahalko dugu, estandarraren bertsio eguneratuena erabiltzea gomendatzen bada ere jende guztiak errazago uler dezan, eta kalteberatasunak kudeatzeko erakundearen prozesuak behar bezala ebaluatzen eta lehenesten laguntzeko.

Gaur egun FIRSTek bere webgunean iragartzen duenez, 4.0 bertsio berrian ari da lanean eta sartu nahi dituen hobekuntza berriak biltzen dituen dokumentu bat berrikustera gonbidatzen gaitu. Zerrenda honetan ikusi ditzakegu onartuak izan diren eguneratze guztiak, hala nola denbora-metriken talde baten ordez mehatxu-metriken talde bat jartzea, zuzenketa- eta konfiantza-metrikak ezabatzea edo oinarri-taldearen barruan eraso-metrikak sartzea.

Hobekuntza horiek guztiak eta beste asko irisgarriak dira publikoarentzat, eta itxura hartzen ari diren eta, ziur asko, etorkizuneko bertsioren batean sartuko diren ideia guztiak ere ikusi ahalko dugu.

Erreferentziak

https://www.first.org/cvss/

https://www.incibe-cert.es/blog/cvss3-0