CVSSスコアはセキュリティリスク管理製品でどのように使用されますか?
CVSS v2から 完全なガイド :
"セキュリティ(リスク)管理:セキュリティリスク管理企業は、組織のリスクまたは脅威レベルを計算するための入力としてCVSSスコアを使用します。これらの企業は、組織のネットワークトポロジ、脆弱性データと統合することが多い高度なアプリケーションを使用します、および資産データベースを使用して、顧客にリスクレベルのより詳細な情報を提供します。」
私の正確な質問は次のとおりです。組織のリスクの計算にCVSSスコアはどのように使用されますか? CVSSスコアはエクスプロイトごとに計算されますが、組織全体のリスクレベルに対してどのように外挿されるのか知りたいですか?ネットワーク内のすべてのアプリケーション、ホストなどのインベントリを作成し、NessusまたはQualysなどの完全なスキャンを実行し、既知のエクスプロイトのCVSSスコアがあるとします。しかし、ネットワーク全体のリスク状況を示すために、それらをどのように結び付けているのでしょうか。
参照やポインタは非常に役立ちます。
まず、グローバルCVSSスコアを計算する3つの異なるメトリックがあります。これらは、ベースメトリック、時間メトリック、および環境メトリックです。
時間的メトリックと環境的メトリックはオプションであり、これらはベース値を入力値として使用して計算されます。これらの指標とその方程式の概要をより詳しく理解するには、次の図をご覧ください。
(ソース: first.org )
一般に、基本メトリックと時間メトリックは、脆弱性速報アナリスト、セキュリティ製品ベンダー、またはアプリケーションベンダーによって指定されます。通常、これらはユーザーよりも脆弱性の特性についてより良い情報を持っているためです。ただし、環境指標はユーザーがで指定します。ユーザーは自分の環境内の脆弱性の潜在的な影響を最もよく評価できるためです。
つまり、ユーザーは環境指標を提供する必要がありますが、脆弱性スキャナーは他の指標を提供する可能性があります。
私の知る限り、Nessusにはベーススコアとテンポラルスコアのみが含まれています。したがって、Nessusは環境指標の値を取得できません。環境指標は、組織の必要性によって異なります。
そうしないと、環境指標を使用してCVSSスコアを計算する場合、Nessusとして自動化された脆弱性スキャナーを使用できません。システムを評価し、組織が耐えることができる脅威を決定する必要があります。
グローバルCVSSスコアを計算するために、Nessusスキャンの結果とシステムの評価を組み合わせることができます。
利用可能です CVSS v2計算機
さらに、Qualysも同様に機能しているように見えます。スキャナーはベースと時間スコアを提供し、さらにユーザーは環境指標を提供します。
CVSS Environmental Metricグループは、ユーザーのIT環境に関連する脆弱性の特性をキャプチャします。
グローバルCVSSスコアは可能な限り最悪の状況になるはずだと思います。