データベースに仮想マシンの詳細が保存されているファイル共有アプリケーション(Dropboxなど)の攻撃グラフを作成しました。残りのメモリスペースなど。考えられる攻撃をいくつか挙げました。
CVSSを計算する必要があります。リストした攻撃をCVEの攻撃と一致させるにはどうすればよいですか?
ここにあるNISTのCVSS計算機を使用します http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2
隣接していないネットワークを介して脆弱性が悪用される可能性があり、アクセスの複雑さが低く、攻撃者が複数回認証する必要がある場合
AN:N, AC:L, Au:M
機密性と整合性への影響はありませんが、可用性への完全な影響は
C:N, I:N, A:C
次のスコアを与えます
Base-Score: 6.1
Base-Impact: 6.9
Exploitability: 6.4
との全体的なスコア
6.1
major
の脆弱性になります。 NISTページで、時間スコアと環境スコアをさらに計算できます。
なぜ攻撃のCVSSスコアをCVEと一致させる必要があるのですか?特定のCVEのCVSSスコアは、一般的に特定のアプリケーションの範囲を維持せずに計算されます。ただし、アプリケーションのCVSSスコアを計算する場合は、そのアプリケーションに関連するすべてのポイントを考慮する必要があります。
たとえば、CVEのNVDデータベースでは、CIAは低としてマークされています。ただし、アプリケーションは機密性の高いデータを処理します。したがって、アプリケーションの同じ脆弱性では、処理するデータのタイプが原因で、C&IベクトルがHIGHになります。