Các lỗ hổng và sự phơi nhiễm phổ biến (Common Vulnerabilities and Exposures - CVE) là các lỗ hổng bảo mật được tiết lộ và phơi bày công khai. Mỗi CVE được đánh giá điểm theo Hệ thống chấm điểm lỗ hổng phổ biến (Common Vulnerability Scoring System - CVSS). Hệ thống này là một tiêu chuẩn để đánh giá mức độ nghiêm trọng của các lỗ hổng bảo mật [2], cung cấp kỹ thuật để chấm điểm từng lỗ hổng trên nhiều tiêu chí đánh giá khác nhau.
Bài báo này cung cấp cho bạn đọc bức tranh tổng quan về các tiêu chí đánh giá, cách tính điểm và phân loại theo CVSS phiên bản 2.0.
Để đánh giá mức độ nghiêm trọng của một lỗ hổng bảo mật mới, các chuyên gia phân tích sẽ thực hiện đánh giá lỗ hổng đó với sáu tiêu chí khác nhau bao gồm: Vector truy cập; Độ phức tạp truy cập; Xác thực; Tính bí mật; Tính toàn vẹn; Tính sẵn sàng. Mỗi tiêu chí bao gồm phần mô tả và điểm số đánh giá. Ba thước đo đầu tiên đánh giá khả năng bị khai thác của lỗ hổng, trong khi ba thước đo sau đánh giá tác động của lỗ hổng.
Vector truy cập (Access Vector - AV): Chỉ số vectơ truy cập mô tả cách thức kẻ tấn công khai thác lỗ hổng bảo mật và được xác định theo các tiêu chí được trình bày trong Bảng 1.
BẢNG 1: CHỈ SỐ VECTƠ TRUY CẬP CỦA CVSS
Độ phức tạp truy cập (Access Complexity - AC): Chỉ số về độ phức tạp khi truy cập mô tả mức độ phức tạp trong quá trình khai thác lỗ hổng bảo mật và được xác định theo các tiêu chí được trình bày trong Bảng 2.
BẢNG 2: CHỈ SỐ ĐỘ PHỨC TẠP TRUY CẬP CỦA CVSS
Xác thực (Authentication - Au): Chỉ số xác thực mô tả các rào cản xác thực mà kẻ tấn công cần phải vượt qua để khai thác lỗ hổng bảo mật và được xác định theo các tiêu chí trong Bảng 3.
BẢNG 3: CHỈ SỐ XÁC THỰC CỦA CVSS
Tính bí mật (Confidentiality Impact - C): Chỉ số bí mật mô tả hình thức thông tin bị tiết lộ nếu kẻ tấn công khai thác thành công lỗ hổng. Chỉ số bí mật được xác định theo các tiêu chí trong Bảng 4.
BẢNG 4: CHỈ SỐ BẢO MẬT CỦA CVSS
Tính toàn vẹn (Integrity Impact - I): Chỉ số toàn vẹn mô tả hình thức thay đổi thông tin có thể xảy ra nếu kẻ tấn công khai thác thành công lỗ hổng. Chỉ số toàn vẹn được chỉ định theo các tiêu chí trong Bảng 5 dưới đây.
BẢNG 5: CHỈ SỐ TÍNH TOÀN VẸN CỦA CVSS
Tính sẵn sàng (Availability Impact - A): Số liệu về tính sẵn sàng mô tả loại gián đoạn có thể xảy ra nếu kẻ tấn công khai thác thành công lỗ hổng. Chỉ số tính sẵn sàng được chỉ định theo tiêu chí trong Bảng 6 dưới đây.
BẢNG 6: CHỈ SỐ TÍNH SẴN SÀNG CỦA CVSS
Vectơ CVSS sử dụng định dạng một dòng để thể hiện các chỉ số của các lỗ hổng bảo mật. Hình 1 minh họa một ví dụ về tham số vectơ CVSS trong báo cáo của ứng dụng quét lỗ hổng Nessus [3], CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
Hình 1: Báo cáo quét lỗ hổng Nessus
Trong ví dụ trên, Vectơ CVSS gồm bảy thành phần. Phần đầu tiên, CVSS2 #, thể hiện CVSS phiên bản 2. Sáu phần tiếp theo lần lượt tương ứng với một trong số sáu chỉ số CVSS. Vector truy cập: N (điểm: 1,000); Độ phức tạp của truy cập: M (điểm: 0,610); Xác thực: N (điểm: 0,704); Tính bí mật: P (điểm: 0,275); Tính toàn vẹn: N (điểm: 0,000); Tính sẵn sàng: N (điểm: 0,000).
Vectơ CVSS cung cấp thông tin chi tiết về bản chất của rủi ro do một lỗ hổng bảo mật gây ra, nhưng sự phức tạp của vectơ khiến nó khó được ưu tiên sử dụng trong thực tế. Để thuận lợi trong việc truyền tải mức độ rủi ro, các nhà phân tích có thể tính toán điểm cơ sở CVSS, là một chỉ số duy nhất đại diện cho rủi ro tổng thể do lỗ hổng bảo mật gây ra, chỉ số này được tính toán dựa trên 3 chỉ số khác: Khả năng bị khai thác, tác động, hàm tác động.
Tính toán điểm khả năng bị khai thác
Điểm khả năng khai thác của một lỗ hổng được tính bằng công thức sau:
Khả năng bị khai thác = 20 × Vector truy cập × Độ phức tạp truy cập × Xác thực
Với ví dụ về lỗ hổng trong Hình 1, khả năng bị khai thác sẽ là 8,589 (20 × 1,000 × 0,610 × 0,704).
Tính toán điểm tác động
Điểm tác động của một lỗ hổng bảo mật được tính bằng công thức sau:
Tác động = 10,41 × (1 − (1 – bí mật) × (1 – toàn vẹn) × (1 – sẵn sàng))
Với ví dụ về lỗ hổng trong hình 1, điểm tác động của lỗ hổng là 2,863 (10,41 × (1 − (1 – 0,275) × (1 − 0) × (1 − 0))).
Xác định giá trị hàm tác động
Nếu điểm tác động là 0, giá trị hàm tác động cũng bằng 0. Ngược lại, giá trị hàm tác động là 1,176. Đây cũng là giá trị của lỗ hổng trong ví dụ minh hoạ.
Tính toán điểm cơ sở
Với tất cả thông tin trên, điểm cơ sở CVSS được tính bằng công thức sau:
Điểm cơ sở = ((0,6 × tác động) + (0,4 × khả năng khai thác) – 1,5) × hàm tác động
Theo ví dụ ta có: Điểm cơ sở = ((0,6 × 2,863) + (0,4 × 8,589) – 1,5) × 1,176 = 4,297.
Thực tế, nhiều hệ thống rà quét lỗ hổng bảo mật tổng hợp kết quả CVSS để đưa ra các đánh giá về mức độ rủi ro. Ví dụ, Nessus sử dụng thang đánh giá mức độ rủi ro được hiển thị trong Bảng 7 để xếp loại các lỗ hổng cho các danh mục dựa trên điểm cơ sở CVSS.
BẢNG 7: PHÂN LOẠI RỦI RO VÀ ĐIỂM CVSS CỦA NESSUS
Tiếp tục với ví dụ về lỗ hổng SSH đã nêu ở trên với điểm cơ sở được tính toán là ≈ 4,3, vì vậy lỗ hồng được xếp vào danh mục rủi ro mức Trung bình.
CVSS 2.0 sử dụng các phương trình toán học chuẩn dựa trên các tham số để tính toán điểm cơ sở của một lỗ hổng bảo mật, các tham số này có thể được tinh chỉnh trong các phiên bản cao hơn của CVSS nhằm hoàn thiện hơn tiêu chuẩn đánh giá này. Tuy nhiên, mục đích xuyên suốt của CVSS chính là chỉ ra mức độ nghiêm trọng của các lỗ hổng bảo mật mới, từ đó các nhà phân tích mạng có thể nhanh chóng đưa ra các quyết định kịp thời trong việc xử lý các sự cố bảo mật và công tác ứng cứu sự cố an toàn thông tin.
Tài liệu tham khảo [1] RFC 4949, Internet Security Glossary, Version 2, https://datatracker.ietf.org/doc/html/rfc4949 [2] Karen Scarfone and Peter Mell, “An analysis of CVSS Version 2 Vulnerability Scoring”, National Institute of Standards and Technology (NIST), October 2009. [3] Mike Chapple, David Seidl, “CompTIA PenTest+ Study Guide”, 2015 |
Trần Nhật Long, Trung tâm CNTT&GSANM
17:00 | 08/07/2021
09:00 | 07/07/2021
20:00 | 29/01/2022
07:00 | 06/08/2021
20:00 | 30/06/2021
12:00 | 23/12/2024
Thời gian gần đây, các kỹ thuật nhận diện ký tự quang học đã có bước tiến lớn với sự xuất hiện của các phương pháp mới như Transformer dành cho các ngôn ngữ Latinh. Tuy nhiên, do bản chất phức tạp của chữ viết tiếng Việt nên việc nghiên cứu về các ngôn ngữ riêng biệt này vẫn còn khá hạn chế. Điều này gây ra những thách thức đặc thù đối với OCR. Trong khi đó, OCR tiếng Việt rất quan trọng trong nhiều ứng dụng như quản lý tài liệu, lưu trữ số và nhập liệu tự động.
16:00 | 18/12/2024
Công nghệ 5G có vai trò quan trọng trong sự phát triển với công nghệ Internet vạn vật và ứng dụng học máy. Tuy nhiên, cùng với những lợi ích đáng kể, các thách thức như tối ưu hóa hiệu quả năng lượng, giảm độ phức tạp xử lý và đảm bảo tính bảo mật vẫn cần được giải quyết để khai thác tối đa tiềm năng của 5G.
13:00 | 28/08/2024
Ngày nay, tin tức về các vụ vi phạm dữ liệu cá nhân trên không gian mạng không còn là vấn đề mới, ít gặp. Vậy làm thế nào để dữ liệu cá nhân của bạn không bị rơi vào tay kẻ xấu? Dưới đây là 6 cách để bảo vệ thông tin cá nhân khi trực tuyến.
10:00 | 16/08/2024
Trong những năm gần đây, công nghệ Deepfake đã trở nên ngày càng phổ biến hơn, cho phép tạo ra các video thực đến mức chúng ta khó có thể phân biệt với các video quay thực tế. Tuy nhiên, công nghệ này đã bị các tác nhân đe dọa lợi dụng để tạo ra những nội dung giả mạo, hoán đổi khuôn mặt nhằm mục đích lừa đảo, gây ảnh hưởng tiêu cực đến xã hội. Do đó, việc phát triển các công cụ phát hiện Deepfake mang tính cấp bách hơn bao giờ hết. Bài viết này sẽ giới thiệu tổng quan về một số kỹ thuật và công cụ phát hiện Deepfake hiệu quả.
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Xe tự hành (Autonomous Vehicles- AV) là một bước tiến lớn trong lĩnh vực công nghệ ô tô đang phát triển nhanh chóng hiện nay. Những chiếc xe tự hành được trang bị công nghệ tiên tiến, mang đến cải thiện hiệu quả về mặt an toàn và tiện lợi cho người dùng. Tuy nhiên, giống như bất kỳ tiến bộ công nghệ nào, AV cũng tạo ra những lo ngại về các mối đe dọa mới, đặc biệt là trong lĩnh vực an ninh mạng. Việc hiểu được những mối nguy hiểm này là rất quan trọng đối với cả chủ xe và những người đam mê công nghệ, vì chúng không chỉ ảnh hưởng đến sự an toàn của cá nhân mà còn ảnh hưởng đến sự an toàn của cộng đồng.
10:00 | 30/12/2024