Các lỗ hổng và sự phơi nhiễm phổ biến (Common Vulnerabilities and Exposures - CVE) là các lỗ hổng bảo mật được tiết lộ và phơi bày công khai. Mỗi CVE được đánh giá điểm theo Hệ thống chấm điểm lỗ hổng phổ biến (Common Vulnerability Scoring System - CVSS). Hệ thống này là một tiêu chuẩn để đánh giá mức độ nghiêm trọng của các lỗ hổng bảo mật [2], cung cấp kỹ thuật để chấm điểm từng lỗ hổng trên nhiều tiêu chí đánh giá khác nhau.
Bài báo này cung cấp cho bạn đọc bức tranh tổng quan về các tiêu chí đánh giá, cách tính điểm và phân loại theo CVSS phiên bản 2.0.
Để đánh giá mức độ nghiêm trọng của một lỗ hổng bảo mật mới, các chuyên gia phân tích sẽ thực hiện đánh giá lỗ hổng đó với sáu tiêu chí khác nhau bao gồm: Vector truy cập; Độ phức tạp truy cập; Xác thực; Tính bí mật; Tính toàn vẹn; Tính sẵn sàng. Mỗi tiêu chí bao gồm phần mô tả và điểm số đánh giá. Ba thước đo đầu tiên đánh giá khả năng bị khai thác của lỗ hổng, trong khi ba thước đo sau đánh giá tác động của lỗ hổng.
Vector truy cập (Access Vector - AV): Chỉ số vectơ truy cập mô tả cách thức kẻ tấn công khai thác lỗ hổng bảo mật và được xác định theo các tiêu chí được trình bày trong Bảng 1.
BẢNG 1: CHỈ SỐ VECTƠ TRUY CẬP CỦA CVSS
.png)
Độ phức tạp truy cập (Access Complexity - AC): Chỉ số về độ phức tạp khi truy cập mô tả mức độ phức tạp trong quá trình khai thác lỗ hổng bảo mật và được xác định theo các tiêu chí được trình bày trong Bảng 2.
BẢNG 2: CHỈ SỐ ĐỘ PHỨC TẠP TRUY CẬP CỦA CVSS
Xác thực (Authentication - Au): Chỉ số xác thực mô tả các rào cản xác thực mà kẻ tấn công cần phải vượt qua để khai thác lỗ hổng bảo mật và được xác định theo các tiêu chí trong Bảng 3.
BẢNG 3: CHỈ SỐ XÁC THỰC CỦA CVSS
Tính bí mật (Confidentiality Impact - C): Chỉ số bí mật mô tả hình thức thông tin bị tiết lộ nếu kẻ tấn công khai thác thành công lỗ hổng. Chỉ số bí mật được xác định theo các tiêu chí trong Bảng 4.
BẢNG 4: CHỈ SỐ BẢO MẬT CỦA CVSS
Tính toàn vẹn (Integrity Impact - I): Chỉ số toàn vẹn mô tả hình thức thay đổi thông tin có thể xảy ra nếu kẻ tấn công khai thác thành công lỗ hổng. Chỉ số toàn vẹn được chỉ định theo các tiêu chí trong Bảng 5 dưới đây.
BẢNG 5: CHỈ SỐ TÍNH TOÀN VẸN CỦA CVSS
Tính sẵn sàng (Availability Impact - A): Số liệu về tính sẵn sàng mô tả loại gián đoạn có thể xảy ra nếu kẻ tấn công khai thác thành công lỗ hổng. Chỉ số tính sẵn sàng được chỉ định theo tiêu chí trong Bảng 6 dưới đây.
BẢNG 6: CHỈ SỐ TÍNH SẴN SÀNG CỦA CVSS
Vectơ CVSS sử dụng định dạng một dòng để thể hiện các chỉ số của các lỗ hổng bảo mật. Hình 1 minh họa một ví dụ về tham số vectơ CVSS trong báo cáo của ứng dụng quét lỗ hổng Nessus [3], CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
.png)
Hình 1: Báo cáo quét lỗ hổng Nessus
Trong ví dụ trên, Vectơ CVSS gồm bảy thành phần. Phần đầu tiên, CVSS2 #, thể hiện CVSS phiên bản 2. Sáu phần tiếp theo lần lượt tương ứng với một trong số sáu chỉ số CVSS. Vector truy cập: N (điểm: 1,000); Độ phức tạp của truy cập: M (điểm: 0,610); Xác thực: N (điểm: 0,704); Tính bí mật: P (điểm: 0,275); Tính toàn vẹn: N (điểm: 0,000); Tính sẵn sàng: N (điểm: 0,000).
Vectơ CVSS cung cấp thông tin chi tiết về bản chất của rủi ro do một lỗ hổng bảo mật gây ra, nhưng sự phức tạp của vectơ khiến nó khó được ưu tiên sử dụng trong thực tế. Để thuận lợi trong việc truyền tải mức độ rủi ro, các nhà phân tích có thể tính toán điểm cơ sở CVSS, là một chỉ số duy nhất đại diện cho rủi ro tổng thể do lỗ hổng bảo mật gây ra, chỉ số này được tính toán dựa trên 3 chỉ số khác: Khả năng bị khai thác, tác động, hàm tác động.
Tính toán điểm khả năng bị khai thác
Điểm khả năng khai thác của một lỗ hổng được tính bằng công thức sau:
Khả năng bị khai thác = 20 × Vector truy cập × Độ phức tạp truy cập × Xác thực
Với ví dụ về lỗ hổng trong Hình 1, khả năng bị khai thác sẽ là 8,589 (20 × 1,000 × 0,610 × 0,704).
Tính toán điểm tác động
Điểm tác động của một lỗ hổng bảo mật được tính bằng công thức sau:
Tác động = 10,41 × (1 − (1 – bí mật) × (1 – toàn vẹn) × (1 – sẵn sàng))
Với ví dụ về lỗ hổng trong hình 1, điểm tác động của lỗ hổng là 2,863 (10,41 × (1 − (1 – 0,275) × (1 − 0) × (1 − 0))).
Xác định giá trị hàm tác động
Nếu điểm tác động là 0, giá trị hàm tác động cũng bằng 0. Ngược lại, giá trị hàm tác động là 1,176. Đây cũng là giá trị của lỗ hổng trong ví dụ minh hoạ.
Tính toán điểm cơ sở
Với tất cả thông tin trên, điểm cơ sở CVSS được tính bằng công thức sau:
Điểm cơ sở = ((0,6 × tác động) + (0,4 × khả năng khai thác) – 1,5) × hàm tác động
Theo ví dụ ta có: Điểm cơ sở = ((0,6 × 2,863) + (0,4 × 8,589) – 1,5) × 1,176 = 4,297.
Thực tế, nhiều hệ thống rà quét lỗ hổng bảo mật tổng hợp kết quả CVSS để đưa ra các đánh giá về mức độ rủi ro. Ví dụ, Nessus sử dụng thang đánh giá mức độ rủi ro được hiển thị trong Bảng 7 để xếp loại các lỗ hổng cho các danh mục dựa trên điểm cơ sở CVSS.
BẢNG 7: PHÂN LOẠI RỦI RO VÀ ĐIỂM CVSS CỦA NESSUS
Tiếp tục với ví dụ về lỗ hổng SSH đã nêu ở trên với điểm cơ sở được tính toán là ≈ 4,3, vì vậy lỗ hồng được xếp vào danh mục rủi ro mức Trung bình.
CVSS 2.0 sử dụng các phương trình toán học chuẩn dựa trên các tham số để tính toán điểm cơ sở của một lỗ hổng bảo mật, các tham số này có thể được tinh chỉnh trong các phiên bản cao hơn của CVSS nhằm hoàn thiện hơn tiêu chuẩn đánh giá này. Tuy nhiên, mục đích xuyên suốt của CVSS chính là chỉ ra mức độ nghiêm trọng của các lỗ hổng bảo mật mới, từ đó các nhà phân tích mạng có thể nhanh chóng đưa ra các quyết định kịp thời trong việc xử lý các sự cố bảo mật và công tác ứng cứu sự cố an toàn thông tin.
|
Tài liệu tham khảo [1] RFC 4949, Internet Security Glossary, Version 2, https://datatracker.ietf.org/doc/html/rfc4949 [2] Karen Scarfone and Peter Mell, “An analysis of CVSS Version 2 Vulnerability Scoring”, National Institute of Standards and Technology (NIST), October 2009. [3] Mike Chapple, David Seidl, “CompTIA PenTest+ Study Guide”, 2015 |
Trần Nhật Long, Trung tâm CNTT&GSANM
17:00 | 08/07/2021
09:00 | 07/07/2021
20:00 | 29/01/2022
07:00 | 06/08/2021
20:00 | 30/06/2021
16:00 | 06/12/2024
Trước thực trạng thiếu hụt nguồn nhân lực ATTT chất lượng cao hiện nay, cần thiết đề ra các giải pháp để giải quyết bài toán nguồn nhân lực, hướng tới phát triển bền vững.
10:00 | 25/11/2024
Tấn công chuỗi cung ứng phần mềm là hình thức tấn công mạng nhằm vào việc phân phối phần mềm hoặc nhà cung cấp dịch vụ trong chuỗi cung ứng kỹ thuật số của doanh nghiệp, gây tác động trên diện rộng và tổn hại lớn đến danh tiếng của doanh nghiệp. Để bảo vệ chuỗi cung ứng trong thời đại số, bài viết này sẽ cung cấp 6 biện pháp giúp doanh nghiệp giảm thiểu các rủi ro và củng cố chuỗi cung ứng trước hình thức tấn công này.
16:00 | 23/09/2024
Quy định Bảo vệ Dữ liệu chung (GDPR) của Liên minh châu Âu là văn bản pháp lý quan trọng, hình mẫu cho các nước, khu vực khác trong việc bảo vệ dữ liệu. Tuy nhiên, việc tuân thủ GDPR sẽ đòi hỏi các tổ chức phải đầu tư kinh phí bổ sung, tăng cường nhân lực dành cho xử lý dữ liệu. Dưới đây là hướng dẫn 12 bước triển khai GDPR cho tổ chức do Ủy ban Bảo vệ Dữ liệu công bố.
11:00 | 13/05/2024
Trong lĩnh vực chữ ký số, lược đồ ký số dựa trên đường cong Elliptic (ECDSA) được đánh giá là một trong những lược đồ chữ ký số có độ an toàn cao, dù ra đời sau nhưng ECDSA đang dần được thay thế cho lược đồ ký số RSA. Bài báo này tập trung giới thiệu lược đồ ECDSA, ứng dụng của ECDSA trong thực tế và các tham số an toàn được khuyến nghị dùng cho ECDSA.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Báo cáo của Lineaje AI Labs đã đặt ra một câu hỏi quan trọng về tính minh bạch trong chuỗi cung ứng phần mềm quan trọng trên toàn cầu, đặc biệt trong bối cảnh phần mềm nguồn mở đang ngày càng được ứng dụng rộng rãi dẫn đến những nguy cơ tiềm ẩn về bảo mật, nhất là khi các đóng góp vào các dự án mã nguồn mở từ những nguồn không xác định.
08:00 | 27/02/2025
