공통 취약성 점수 시스템(CVSS)
CVSS(Common Vulnerability Scoring System)는 컴퓨터 시스템 보안의 심각도와 위험을 평가하는 데 사용됩니다.
JSA 7.5.0에서 JSA Vulnerability Manager는 CVSS(Common Vulnerability Scoring System) 2.0, 3.0 및 3.1을 지원한다. 취약성 데이터에서 사용할 수 있는 가장 높은 버전에 대해 점수 및 메트릭 값이 반환됩니다.
CVSS는 다음과 같은 메트릭 그룹으로 구성된 개방형 프레임워크입니다.
기본
시간적
환경
기본
기본 점수 심각도 범위는 0 - 10이며 취약성의 고유한 특성을 나타냅니다. 기본 점수는 최종 CVSS 점수에 가장 큰 영향을 미치며 다음 하위 점수로 더 나눌 수 있습니다.
영향
영향 하위 점수는 기밀성 영향, 무결성 영향 및 성공적으로 악용된 취약성의 가용성 영향에 대한 메트릭을 나타냅니다.
익스플로잇 가능성
CVSS v2에서 익스플로잇 가능성 하위 점수는 액세스 벡터, 액세스 복잡성 및 인증에 대한 메트릭을 나타냅니다. 항목별 점수는 취약성에 액세스하는 방법, 공격의 복잡성 및 공격자가 취약성을 악용하기 위해 인증해야 하는 횟수를 측정합니다.
CVSS v3에서 익스플로잇 가능성 하위 점수는 공격 벡터, 공격 복잡성, 필요한 권한, 사용자 상호 작용 및 범위에 대한 메트릭을 나타냅니다. 항목별 점수는 취약성에 액세스하는 방법, 공격의 복잡성, 필요한 권한, 공격자와 다른 사용자 간에 필요한 상호 작용, 취약한 구성 요소 이외의 리소스에 미치는 영향을 측정합니다.
시간적
임시 점수는 시간이 지남에 따라 변하는 취약성 위협의 특성을 나타내며 다음 메트릭으로 구성됩니다.
익스플로잇 가능성(CVSS v2) 또는 익스플로잇 코드 성숙도(CVSS v3)
취약성을 악용하는 데 사용할 수 있는 기술 또는 코드의 가용성은 시간이 지남에 따라 변경됩니다.
수정 수준
취약성에 사용할 수 있는 수정 수준입니다.
신뢰도 보고
취약성의 존재에 대한 신뢰 수준과 기술적 세부 사항의 신뢰성.
환경
환경 점수는 사용자 환경의 영향을 받는 취약성의 특성을 나타냅니다. 다음 환경 메트릭을 구성하여 더 높은 환경 메트릭을 적용하여 중요하거나 중요한 자산의 취약성을 강조 표시합니다. 이러한 자산과 관련된 손실은 조직에 더 큰 영향을 미치기 때문에 가장 중요한 자산에 가장 높은 점수를 적용합니다.
CDP(Collateral Damage Potential)(CVSS v2만 해당)
이 자산의 손상 또는 도난으로 인한 인명 또는 물리적 자산의 손실 가능성, 또는 생산성 또는 수익의 경제적 손실.
TD(Target Distribution)(CVSS v2만 해당)
사용자 환경에서 취약한 시스템의 비율.
기밀 유지 요구 사항(CR)
이 자산에서 취약성이 악용될 때 기밀성 손실에 미치는 영향 수준입니다.
무결성 요구 사항(IR)
이 메트릭은 취약성이 이 자산에서 성공적으로 악용될 때 무결성 손실에 미치는 영향 수준을 나타냅니다.
가용성 요구 사항(AR)
이 자산에서 취약성이 성공적으로 악용될 때 자산의 가용성에 미치는 영향 수준입니다.