آیا یک آسیب پذیری یکسان میتواند در سازمان های مختلف امتیاز CVSS متفاوتی داشته باشد؟ پاسخ مثبت است! به طور مثال یک آسیب پذیری خاص، ممکن است در یک سامانه‌ی پرداخت محور ارزش و اهمیت بالایی داشته باشد اما در یک سامانه‌ی خبری چندان مهم نباشد. در نتیجه نمیتوان یک فرمول را برای ارزشگذاری همه‌ی آسیب پذیری‌ها در همه‌ی سامانه‌ها مورد استفاده قرار داد.

حالا چطور باید متوجه شد که آسیب‌پذیری در یک سازمان خاص چطور ارزش‌گذاری میشود؟

پاسخ این سوال به VDP یا قوانین پذیرش آسیب پذیری امنیتی سازمان وابسته است. ممکن است یک سازمان بنا بر نوع ویژه‌ی کسب و کار خود برای دسته‌ی به خصوصی از آسیب‌پذیری‌ها ارزش بالایی قائل شود یا سازمانی دیگر همان آسیب‌پذیری را به دلیل نداشتن پیامد خاص بر روی سامانه، سطح پایین تلقی کند.(برای آشنایی بیشتر با نحوه‌ی تنظیم دقیق و شفاف VDP میتوانید اینجا کلیک کنید.) در نتیجه IMPACT یا پیامد کلیدواژه این مبحث است.

IMPACT یا پیامد آسیب پذیری گزارش شده چگونه محاسبه میشود؟

اثرگذاری یا پیامد هر گزارش امنیتی را میتوان در لحاظ نمودن سه زیرشاخه دسته‌بندی کرد:

۱. محرمانگی (Confidentiality)

محرمانگی این موضوع را بررسی میکند که آیا دیتا و اطلاعات به دست آمده توسط متخصص محرمانه بوده است یا خیر. محرمانگی معمولا در چهار رده‌ی زیر طبقه‌بندی میشود: 

۱.بی اثر: به این معنی که اطلاعات به دست آمده اصلا محرمانه نبوده‌اند. 

۲.کم: اطلاعات نشت شده محرمانگی پایین داشته‌اند و تهدید محسوب نمیشوند. 

۳.متوسط: اطلاعات سطح محرمانگی بالاتری نسبت به دسته‌ی قبلی دارند و میتوانند تهدیدآمیز باشند. 

۴.زیاد: اطلاعات سطح محرمانگی بسیار بالایی داشته‌اند و میتوانند اثرات بسیار خطرناک و مخربی داشته‌باشند و یا حیطه وسیعی از مشتریان سازمان را دربر بگیرد. 

۲. یکپارچگی (Integrity) 

یکپارچگی این موضوع را بررسی میکند که آیا نفوذ انجام شده میتواند در اطلاعات سامانه تغییر ایجاد کند و قابل‌اعتماد بودن آن‌ها را از بین ببرد. یکپارچگی اطلاعات نیز در چهار رده دسته‌بندی میشود: 

۱.بی‌اثر: یعنی هیچ تغییری در اطلاعات ایجاد نشده است. 

۲.کم: یعنی تغییراتی ایجاد شده است اما ارزش ویژه‌ای ندارد. 

۳.متوسط: تغییرات قابل توجهی میتواند انجام شود و ممکن است آثار مخربی داشته باشد. 

۴.زیاد: تغییرات انجام شده گسترده هستند و یا اطلاعات بسیار حساسی قابل تغییر هستند.  

۳. دسترسی پذیری (Availability) 

دسترسی پذیری به این موضوع اشاره میکند که آسیب‌پذیری کشف شده تا چه حد میتواند در دسترس بودن سامانه را تهدید کند. این مورد نیز در چهار رده دسته بندی میشود: 

  1. بی‌اثر: آسیب‌پذیری کشف شده هیچ اثری روی قابلیت دسترسی سامانه ندارد. 
  1. کم: امکان محدود کردن دسترسی وجود دارد اما در گستره‌ای بسیار کم‌اهمیت. 
  1. متوسط: دسترسی ممکن است به صورت قابل‌توجهی تهدید شود و آثار مخربی مانند عدم دسترسی برخی کاربران به سامانه داشته باشد. 
  1. زیاد: امکان قطع دسترسی برای تعداد زیادی از کاربران و یا بر روی سامانه‌های حساس وجود دارد که بسیار مخرب است.

هر سازمان در هریک از سه بخش بالا دارای نیازمندی‌ها و ملاحظات به خصوصی است که باید علاوه بر پارامترهای پایه‌ی موجود در بخش Base، پارامترهای ثانویه در بخش Environment موجود در محاسبه‌گر CVSS نیز در نظر گرفته شده و تکمیل شود. به همین دلیل متخصصین باگدشت در زمان ثبت آسیب‌پذیری، سناریویی مختص سازمان مربوطه مینویسند تا ارزش آسیب‌پذیری را نشان دهند و تیم فنی باگدشت نیز براساس سناریوی ارسالی توسط متخصص، ممکن است امتیاز CVS S آسیب‌پذیری را نسبت به حالت کلی و پیش‌فرض تغییر دهد. در نتیجه یک سناریوی مناسب میتواند باعث تسریع در پذیرش آسیب‌پذیری و افزایش امتیاز متخصص شود.