در ادامه معرفی CVSS، در این مقاله به معرفی بخش‌های Temporal و Environmental می‌پردازیم. همان‌طور که در مقاله قبل گفته شد، گرو‌های Temporal و Environmental شدت آسیب‌پذیری تعیین شده را با اضافه کردن جزئیات در مورد نوع کسب و کار آسیب‌پذیر و زمان تغییر می‌دهند و درجه آسیب‌پذیری با تغییر متغیرهای گروه‌های Temporal و Environmental دقیق‌تر محاسبه می‌شود.

۱. معیار Temporal:

معیار Temporal وضعیت زمانی تکنیک‌های اکسپلویت آسیب‌پذیری، دسترسی به کد اکسپلویت، وجود هرگونه به‌روز رسانی یا راه‌حلی برای حل مشکل آسیب‌پذیری و یا درجه اهمیت باگ را بررسی می‌کند.

۲.۱ Exploit Code Maturity (E):

این معیار احتمال حمله به آسیب‌پذیری براساس وضعیت زمانی تکنیک‌های اکسپلویت و کدهای موجود اکسپلویت آسیب‌پذیری در سطح وسیع را بررسی می‌کند. کدهای عمومی و روش‌های ساده برای اکسپلویت، احتمال حمله به آسیب‌پذیری را افزایش می‌دهند. درنتیجه هکرهای غیرحرفه‌ای وارد عمل می‌شوند و در این حالت امتیاز آسیب‌پذیری افزایش می‌یابد. امتیاز دهی به آسیب‌پذیری در این معیار به شکل زیر است:

  • Not Defined(X): این متغییر وجود اطلاعات ناکافی را برای امتیاز دهی نشان می‌دهد و روی امتیاز Temporal تأثیر ندارد.
  • High(H): کد مستقل برای اسکپلویت آسیب‌پذیری وجود دارد، اکسپلویت آسیب‌پذیری نیاز نیست (عملیات دستی) و جزئیات در دسترس همه وجود دارد. کدهای اکسپلویت آسیب‌پذیری در همه حالت‌ها اجرا می‌شوند و یا از طریق ویروس به شکل فعال به سیستم قربانی فرستاده می‌شود. در این حالت تلاش برای اسکن سیستم‌های متصل به شبکه برای اکسپلویت آسیب‌پذیری وجود دارد و ابزارهای اسکن شبکه با کاربرد آسان در سطح وسیع در دسترس همه است.
  • Functional(F):‌ در این حالت کدهای موجود اکسپلویت آسیب‌پذیری در اکثر حالت‌ها اجرا می‌شوند.
  • Proof-of-Concept(P): در این حالت کدهای PoC موجود است و اجرای حمله روی بیشتر سیستم‌ها قابل اجرا نیست. استفاده از کدها و تکنیک‌های آکسپلویت آسیب‌پذیری پیچیده است و یا نیازمند تنظیمات دقیق توسط هکرهای حرفه‌ای است.
  • Unproven(U): هیچ کد اکسپلویتی در دسترس نیست و یا روش اکسپلویت آسیب‌پذیری تئوری است.

۳.۱ Remediation Level (RL):

زمانی که آسیب‌پذیری عمومی می‌شود، هنوز باگ در نرم‌افزار هدف، رفع و به‌روز رسانی منتشر نشده است. اصلاحات و محدویت‌های سریع قبل از انتشار به‌روز رسانی ارائه می‌شوند.

  • Not Defined(X):‌ این متغیر وجود اطلاعات ناکافی را برای امتیاز دهی نشان می‌دهد و روی امتیاز Temporal تأثیر ندارد.
  • Unavailable(U): هیچ راه حلی برای پوشش آسیب‌پذیری وجود ندارد.
  • Workaround(W): راه حل غیررسمی و غیر از وندور وجود دارد. در بعضی از موارد، کاربران تکنولوژی‌های آسیب‌پذیر، به‌روز رسانی و محدودیت با مسئولیت شخصی برای آسیب‌پذیری اعمال می‌کنند.
  • Temporary Fix(T): راه حل رسمی موقتی وجود دارد. وندور به‌روز رسانی موقتی برای پوشش آسیب‌پذیری منتشر می‌کند.
  • Official Fix(O): راه حل قطعی وجود دارد. شرکت‌های سازنده یا وندورها به شکل رسمی آسیب‌پذیری را رفع می‌کنند.

۴.۱ Report Confidence (RC):

این معیار اعتبار و جزئیات فنی آسیب‌پذیری را بررسی می‌کند .در بعضی از موارد آسیب‌پذیری بدون افشای جزئیات منتشر می‌شود. برای مثال، اثر نامطلوب باگ شناسایی می‌شود، ولی علت اصلی وجود باگ ناشناخته می‌ماند. در بعضی از حالت‌ها، متخصصان امنیت از طریق تحقیقات وجود آسیب‌پذیری را انکار می‌کنند ولی این تحقیقات قطعی نیستند. در نهایت آسیب‌پذیری و اثرات آن توسط صاحب نرم‌افزار یا وندور ممکن است تائید شوند. زمانی یک آسیب‌پذیری تائید می‌شود که تمام مدارک و شواهد امکان وجود آسیب‌پذیری را تائید کنند. همچنین این معیار سطح دسترسی تکنیکی آسیب‌پذیری به مهاجمین را نشان می‌دهد.

  • Not Defined(X): این متغیر وجود اطلاعات ناکافی را برای امتیاز دهی نشان می‌دهد و روی امتیاز Temporal تأثیر ندارد.
  • Confirmed(C): جزئیات گزارش موجود است و یا اجرای دوباره فرایند امکان دارد (فرایند اکسپلویت آسیب‌پذیری). کدهای اکسپلویت موجود است و شرکت‌های سازنده و وندورها از طریق این کدها می‌توانند وجود آسیب‌پذیری را تائید کنند.
  • Reasonable(R): جزئیات آسیب‌پذیری کاملاً منتشر شده‌ است، ولی محققان دلیل وجود باگ را نمی‌دانند و احتمالاً به‌دلیل عدم دسترسی به کد منبع، مشکل را نمی‌توانند تائید کنند. دلیل قطعی برای وجود باگ وجود دارد و تکرار اکسپلویت آسیب‌پذیری این‌ امر را تائید می‌کند. برای مثال، جزئیات write-up متخصص امنیت در مورد آسیب‌پذیری در دسترس و قابل تکرار است.
  • Unknown(U): گزارش‌‌ها وجود آسیب‌پذیری را تائید می‌کنند. متخصص امنیت در گزارش خود دلیل وجود باگ را ناشناس ذکر می‌کند و یا گزارش‌های متفاوت دلایل متفاوتی برای وجود باگ ذکر می‌کنند. گزارش‌ها از ماهیت اصلی وجود باگ بی‌‌اطلاع هستند و عدم اطمینان درصحت گزارش‌ها وجود دارد.

۲. Environmental Metrics:

این معیارها تحلیلگر امنیتی را قادر به امتیازدهی آسیب‌پذیری از روش CVSS می‌کند. این امتیازدهی براساس اثر آسیب‌پذیری بر روی دارایی ‌سازمان و کاربران، کنترل‌های امنیتی تکمیلی یا جایگزین، محرمانگی(Confidentiality)، یکپارچگی(Integrity) و دردسترس(Availability) بودن است. این معیار بر پایه وکتورهای Base، جایگاه سیستم‌های هدف در زیرساخت هر سازمان را در نظر می‌گیرد.

۱.۲ Security Requirements (CR, IR, AR):

این معیار امتیاز آسیب‌پذیری را برپایه اثر باگ بر دارایی‌های سازمان و کاربران، محرمانگی، یکپارچگی و دردسترس بودن سیستم هدف تعیین می‌کند. اگر برای سازمان فرایندهای تجاری اهمیت بیشتر داشته باشند، تحلیلگر امنیتی امتیاز بالاتری به دلیل اثر روی محرمانگی و یکپارچگی سیستم قائل می‌شود. هر Security Requirements دارای سه سطح امتیاز است: Low, Medium and High

اثر امتیاز Environmental با اثر تغییر معیارهای Base تعیین می‌شود. این معیارها امتیاز Environmental را با تنظیم محرمانگی، یکپارچگی و دردسترس بودن تعیین می‌کنند. برای مثال، اثر Modified Confidentiality (MC) افزایش پیدا می‌کند، اگر وزن اثر Confidentiality Requirement (CR) افزایش پیدا کند. برهمین اساس، اثر معیار Modified Confidentiality کاهش پیدا می‌کند، اگر اثر Confidentiality Requirement کم باشد. اثر Modified Confidentiality بدون تاثیر است اگر وزن Confidentiality Requirement متوسط باشد. این فرایند روی Integrity و Availability requirements نیز انجام می‌شود.

توجه داشته باشید Confidentiality Requirement روی امتیاز Environmental اثر ندارد اگر اثر confidentiality در Base مقدار None انتخاب شده باشد.

  • Not Defined(X): این متغیر وجود اطلاعات ناکافی را برای امتیاز دهی نشان می‌دهد و روی امتیاز Environmental تأثیر ندارد.
  • High(H): از دست دادن Confidentiality، Integrity و Availability اثر منفی زیادی روی افراد سازمان(کارمندان و مشتریان) و خود سازمان دارد.
  • Medium(M): از دست دادن Confidentiality، Integrity و Availability اثر منفی کمتری نسبت به High روی افراد سازمان(کارمندان و مشتریان) و خود سازمان دارد.
  • Low(L): از دست دادن Confidentiality، Integrity و Availability اثر منفی محدودی روی افراد سازمان (کارمندان و مشتریان) و خود سازمان دارد.

۲.۲ Modified Base Metrics:

این معیار به تحلیلگر امنیتی امکان تغییر امتیاز Base با استفاده از ویژگی‌های محیط‌ کاربری را می‌دهد و روی اکسپلویت آسیب‌پذیری تأثیر دارد. هدف و تأثیر آسیب‌پذیری را می‌توان از طریق Environmental Score تغییر داد.

معیارهای Base تأثیر کاملی روی امتیاز Environmental دارد و با تغییر متغییرهای Environmental امتیاز Base تغییر می‌کند. معیارهای Environmental با مقادیر معیارهای ‌‌Base برابر است. مقدار Not Defined پیش‌فرض است و همان مقدار Base را برمی‌گرداند. هدف این معیار تعریف محدودیت در شرایط سیستم آسیب‌پذیر است و در بعضی از شرایط با استفاده از این معیار امتیاز Base افزایش پیدا می‌کند. برای مثال، در تنظیمات پیش‌فرض پایه، دسترسی به بعضی از توابع نیازمند سطح دسترسی بالا است. اما در تحلیل محیطی نیازمند افزایش سطح دسترسی نباشد. این تحلیل الزام افزایش سطح دسترسی را به تغییر سطح دسترسی به None تغییر می‌دهد که موجب افزایش امتیاز کلی آسیب‌پذیری می‌شود. این پارامترها در ادامه آورده شده است که بر روی ارزش Base بر اساس شرایط کسب و کار تاثیر گذار هستند.

  • Modified Attack Vector (MAV)
  • Modified Attack Complexity (MAC)
  • Modified Privileges Required (MPR)
  • Modified User Interaction (MUI)
  • Modified Scope (MS)
  • Modified Confidentiality (MC)
  • Modified Integrity (MI)
  • Modified Availability (MA)