リスクとCVSSの間の正式な機能的関係
Common Vulnerability Scoring System (CVSS)を使用すると、とりわけ、ソフトウェアの脆弱性の重大度を定量化できます。
CVSSと関連するリスクの間の機能的関係は何ですか?言い換えれば、関数リスク(CVSS)= ...の形はどうなるでしょうか?
たとえば、5つのCVSS=2脆弱性を持つホストと2つのCVSS=10を持つホストを区別するために、ホストの「累積されたセキュリティレベル」が必要なため、これを求めています。上記の関数は、各CVSSの重みを設定するのに役立ちます。そのため、上記の例のケースは同等ではありません(関数が線形の場合は、そうではないと思いますが、そうではないはずです。最悪のケースを強調するために指数関数的)。
OpenVASセキュリティスキャナーがホストにグローバルCVSSスコアを与えるために使用する方法は、発見されたすべての脆弱性の中で最高のCVSSスコアを取得することです。つまり、_CVSS=2_が5つあるホストのOpenVASの最終CVSSスコアは2であり、_CVSS=10_が2つあるホストの最終CVSSスコアは10です。
関数risk(CVSS)=...について厳密に言えば、私の意見では、それは指数関数に近いになると思います。
ボットネットを構成するために悪用する脆弱性について、ランダムなIPアドレスの全範囲をスキャンしている人を想像してみてください。彼は、各ホストに多くの時間を費やすことなく、高いCVSSにのみ焦点を合わせます。
ここで、誰かがあなたのパブリックIPアドレスを2つスキャンして、あなたを具体的にターゲットにしていると想像してみてください。一方が10のCVSSで、もう一方が2のCVSSのみで潜在的な脆弱性を持っていることを発見した場合、彼はもう一方に多くの時間を費やすことなく、最も弱いものを危険にさらそうとします。
さらに、CVSS 2の脆弱性では、誰かがサーバーを完全に制御することはできないため、システムに関する情報を収集する必要があると判断された攻撃者のみが使用する可能性があります。