1. GIỚI THIỆU
Hệ Thống Đánh Giá Lỗ Hổng Phổ Biến (Common Vulnerability Scoring System - CVSS) là một khung mở dùng để truyền đạt các đặc điểm và mức độ nghiêm trọng của các lỗ hổng phần mềm.
CVSS được sở hữu và quản lý bởi FIRST.Org, Inc. (FIRST), một tổ chức phi lợi nhuận đặt tại Hoa Kỳ, với sứ mệnh hỗ trợ các nhóm phản ứng sự cố an ninh máy tính trên toàn thế giới. FIRST có quyền cập nhật CVSS và tài liệu này định kỳ theo quyết định riêng. Mặc dù FIRST sở hữu toàn bộ quyền lợi đối với CVSS, tổ chức này cấp phép sử dụng miễn phí cho công chúng, với các điều kiện như sau. Việc trở thành thành viên của FIRST không bắt buộc để sử dụng hoặc triển khai CVSS. Tuy nhiên, FIRST yêu cầu bất kỳ cá nhân hoặc tổ chức nào sử dụng CVSS phải ghi nhận đầy đủ nguồn gốc, nêu rõ CVSS thuộc sở hữu của FIRST và được phép sử dụng. Thêm vào đó, điều kiện sử dụng còn yêu cầu rằng bất kỳ cá nhân hoặc tổ chức nào công bố điểm số phải tuân thủ các hướng dẫn được mô tả trong tài liệu này, đồng thời cung cấp cả điểm số và vector điểm để người khác có thể hiểu cách điểm số được tính toán.
2. Mục đích của CVSS
CVSS (Common Vulnerability Scoring System) được phát triển nhằm mục đích chuẩn hóa việc đánh giá và định lượng mức độ nghiêm trọng của các lỗ hổng bảo mật trong phần mềm, phần cứng, và hệ thống thông tin.
Trong bối cảnh thế giới ngày càng phụ thuộc vào công nghệ, số lượng lỗ hổng bảo mật được công bố mỗi năm tăng lên nhanh chóng. Do đó, nhu cầu về một hệ thống có thể đo lường và truyền đạt rõ ràng mức độ rủi ro của các lỗ hổng là điều thiết yếu.
-
Một trong những mục tiêu quan trọng của CVSS là cung cấp một khuôn khổ thống nhất và khách quan để các tổ chức, nhà phát triển, nhà cung cấp phần mềm, và các nhóm phản ứng sự cố có thể dựa vào để đánh giá tác động của một lỗ hổng đối với an toàn thông tin. Điều này giúp giảm thiểu sự thiếu nhất quán trong việc đánh giá giữa các tổ chức hoặc các chuyên gia an ninh mạng.
-
CVSS còn đóng vai trò then chốt trong việc hỗ trợ các tổ chức xác định thứ tự ưu tiên khi xử lý lỗ hổng, đặc biệt là trong môi trường doanh nghiệp có hàng trăm hoặc hàng nghìn hệ thống đang hoạt động. Khi tài nguyên về thời gian, nhân lực và tài chính bị giới hạn, không thể xử lý tất cả các lỗ hổng cùng lúc. Việc xác định lỗ hổng nào có mức độ nghiêm trọng cao hơn sẽ cho phép tổ chức phân bổ nguồn lực hiệu quả, giảm thiểu rủi ro bảo mật trên diện rộng.
-
CVSS còn giúp các nhóm quản lý rủi ro và an toàn thông tin đưa ra quyết định chiến lược và kỹ thuật một cách nhanh chóng và chính xác. Thông qua việc cung cấp điểm số và mô tả chi tiết từng khía cạnh của lỗ hổng (ví dụ: mức độ dễ khai thác, mức độ ảnh hưởng đến tính bảo mật, toàn vẹn và sẵn sàng của hệ thống), các tổ chức có thể đánh giá được mối đe dọa thực tế và tiềm năng đối với hạ tầng công nghệ thông tin của mình. Từ đó, họ có thể xác định mức độ ưu tiên vá lỗi, thiết lập chính sách kiểm soát, hoặc thực hiện biện pháp giảm thiểu phù hợp.
3. Các trường thông tin chấm điểm
Hệ thống chấm điểm lỗ hổng bảo mật phổ biến (CVSS) là khung đánh giá để tính toán các đặc điểm và mức độ nghiêm trọng của các lỗ hổng phần mềm. Điểm CVSS được biểu diễn dưới dạng chuỗi vector, có thang điểm từ 0.0 (ít nguy hiểm nhất) đến 10.0 (nguy hiểm nhất).
Ở bài viết này, mình sẽ chia sẻ thông tin theo Hệ thống chấm điểm 3.1. Hiện tại, hầu hết các đơn vị đánh giá An toàn thông tin đang dựa theo base core 3.1 - phiên bản được ứng dụng nhiều nhất. Mặc dù Hệ thống chấm điểm 4.0 đã ra đời, tuy nhiên chưa nhiều đơn vị sử dụng hệ thống này.
CVSS bao gồm ba nhóm số liệu: Số liệu cơ sở (Base Metrics), số liệu tạm thời (Temporal Metrics) và số liệu môi trường (Environmental Metrics).
a. Nhóm số liệu cơ sở (Base Metrics)
Nhóm số liệu cơ sở thể hiện các đặc điểm của lỗ hổng bảo mật. Những đặc điểm này không thay đổi theo thời gian và không phụ thuộc vào khả năng khai thác trong thế giới thực hoặc vào các yếu tố bù đắp mà doanh nghiệp đã triển khai để ngăn chặn việc khai thác. Các thành phần của nhóm số liệu cơ bản bao gồm:
| Chỉ số | Tên tiếng Việt | Mô tả |
|---|---|---|
| Attack Vector (AV) | Vector tấn công | Chỉ báo về mức độ truy cập cần thiết đối với kẻ tấn công để khai thác lỗ hổng. |
| Attack Complexity (AC) | Độ phức tạp tấn công | Chỉ báo chỉ ra các điều kiện ngoài tầm kiểm soát của kẻ tấn công mà phải tồn tại để khai thác lỗ hổng, thường tham chiếu đến sự tương tác của người dùng được yêu cầu hoặc các cấu hình cụ thể của hệ thống mục tiêu. |
| Privileges Required (PR) | Quyền hạn yêu cầu | Chỉ báo mô tả mức độ quyền hạn hoặc truy cập mà kẻ tấn công phải có trước khi khai thác thành công. |
| User Interaction (UI) | Tương tác người dùng | Chỉ báo mô tả liệu ngoại trừ kẻ tấn công, người dùng có cần làm bất cứ điều gì hoặc tham gia vào việc khai thác lỗ hổng không. |
| Scope (S) | Phạm vi | Chỉ báo về việc một lỗ hổng trong một hệ thống hoặc thành phần có thể gây ra ảnh hưởng tiếp theo đối với một hệ thống hoặc thành phần khác. |
| Confidentiality (C) | Tính bí mật | Chỉ số bí mật liên quan đến việc tiết lộ thông tin nhạy cảm cho người dùng được ủy quyền và không được ủy quyền, với mục tiêu là chỉ người dùng được ủy quyền mới có thể truy cập vào dữ liệu mục tiêu. |
| Integrity (I) | Tính toàn vẹn | Chỉ số toàn vẹn đề cập đến việc liệu thông tin được bảo vệ đã bị can thiệp hoặc thay đổi bằng bất kỳ cách nào hay không. Nếu không có cách nào cho kẻ tấn công để thay đổi tính chính xác hoặc nội dung thông tin, tính toàn vẹn đã được duy trì. |
| Availability (A) | Tính sẵn sàng | Chỉ số cho biết thông tin có thể được truy cập khi cần thiết. Nếu một cuộc tấn công làm cho thông tin không khả dụng, như khi một hệ thống bị sập hoặc thông qua một cuộc tấn công DDoS, tính sẵn sàng sẽ bị ảnh hưởng tiêu cực. |
b. Nhóm số liệu tạm thời (Temporal Metrics)
Nhóm số liệu tạm thời của CVSS thể hiện các số liệu liên quan đến lỗ hổng bảo mật thay đổi theo thời gian. Các số liệu này đo lường khả năng khai thác lỗ hổng hiện tại cũng như tính khả dụng của các biện pháp kiểm soát khắc phục, chẳng hạn như bản vá. Các thành phần của số liệu tạm thời bao gồm:
| Chỉ số | Tên tiếng Việt | Mô tả |
|---|---|---|
| Exploit Code Maturity (E) | Độ trưởng thành của mã khai thác | Chỉ số đo lường khả năng lỗ hổng bảo mật bị tấn công, thường dựa trên trạng thái hiện tại của các kỹ thuật khai thác, tính khả dụng của mã khai thác (ví dụ: khai thác có sẵn công khai, có mã mẫu, hoặc chỉ là lý thuyết). |
| Remediation Level (RL) | Cấp độ khắc phục | Chỉ số đánh giá trạng thái hiện tại của lỗ hổng để được ưu tiên vá hoặc xử lý. Các cấp độ bao gồm: không có bản vá, có bản vá tạm thời, có bản vá chính thức, hoặc lỗ hổng không còn tồn tại. |
| Report Confidence (RC) | Độ tin cậy của báo cáo | Độ tin cậy đo lường mức độ xác thực chứng minh rằng lỗ hổng là có thật và có thể khai thác được. Bao gồm các mức như: chưa xác thực, hợp lý (reasonable), và được xác minh bởi các chuyên gia hoặc nguồn đáng tin cậy. |
c. Nhóm số liệu môi trường (Environmental Metrics)
Nhóm số liệu môi trường CVSS cho phép tổ chức sửa đổi CVSS cơ sở dựa trên Yêu cầu bảo mật và các sửa đổi của Số liệu cơ sở tùy thuộc vào môi trường đánh giá.
| Chỉ số | Tên tiếng Việt | Mô tả |
|---|---|---|
| Security Requirements | Yêu cầu bảo mật | Chỉ số cho phép kiểm thử viên tùy chỉnh mức độ ảnh hưởng của lỗ hổng dựa trên tầm quan trọng của hệ thống, dữ liệu hoặc tài sản CNTT đối với tổ chức. Được đo lường dựa trên ba khía cạnh: • Bảo mật (Confidentiality – CR) • Toàn vẹn (Integrity – IR) • Sẵn sàng (Availability – AR). |
| Modified Base Metrics | Chỉ số cơ sở được sửa đổi | Chỉ số cho phép kiểm thử viên ghi đè (override) các chỉ số trong nhóm Base Metrics tùy thuộc vào bối cảnh và đặc điểm cụ thể của môi trường tổ chức, từ đó đánh giá sát thực tế hơn. Bao gồm các chỉ số có thể sửa đổi: • MAV - Vector tấn công (Modified Attack Vector) • MAC - Độ phức tạp tấn công (Modified Attack Complexity) • MPR - Quyền hạn yêu cầu (Modified Privileges Required) • MUI - Tương tác người dùng (Modified User Interaction) • MS - Phạm vi (Modified Scope) • MC - Tính bí mật (Modified Confidentiality) • MI - Tính toàn vẹn (Modified Integrity) • MA - Tính sẵn sàng (Modified Availability) |
Security Requirements (CR, IR, AR) thường được đánh giá theo ba mức: Low (Thấp), Medium (Trung bình), và High (Cao) - phản ánh mức độ ưu tiên xử lý lỗ hổng trong từng khía cạnh bảo mật.
Modified Base Metrics cực kỳ hữu ích khi tổ chức có kiến trúc hoặc cấu hình hệ thống khác biệt với môi trường chung, giúp điểm số CVSS phản ánh chính xác hơn nguy cơ thực tế.
d. Thang điểm đánh giá mức độ nghiêm trọng
Thang điểm đánh giá mức độ nghiêm trọng dựa trên kết quả CVSS được tính như sau:
| Mức độ | Điểm CVSS | Mô tả |
|---|---|---|
| Nghiêm trọng | 9.0 – 10.0 | Độ nguy hiểm mức Nghiêm trọng phản ánh các lỗ hổng có thể dễ dàng bị khai thác từ xa, cho phép kẻ tấn công chiếm quyền kiểm soát hoàn toàn thiết bị hoặc hệ thống, thực hiện các hành vi vượt quyền, truy cập trái phép vào tài nguyên quan trọng. |
| Cao | 7.0 – 8.9 | Độ nguy hiểm mức Cao biểu thị lỗ hổng có khả năng bị khai thác dễ dàng, có thể dẫn đến đánh cắp thông tin người dùng, chiếm quyền truy cập phiên làm việc, hoặc trở thành bàn đạp cho các cuộc tấn công tiếp theo trong hệ thống. |
| Trung bình | 4.0 – 6.9 | Độ nguy hiểm mức Trung bình phản ánh lỗ hổng có thể bị khai thác nhưng yêu cầu điều kiện phức tạp hơn hoặc gây ra hậu quả không trực tiếp nghiêm trọng. Việc khai thác có thể bị giới hạn bởi môi trường hoặc quyền truy cập. |
| Thấp | 0.1 – 3.9 | Độ nguy hiểm mức Thấp phản ánh lỗ hổng có ảnh hưởng nhỏ, thường chỉ tiết lộ thông tin hệ thống không nhạy cảm, nhưng có thể hỗ trợ kẻ tấn công trong việc thu thập thông tin để chuẩn bị cho các cuộc tấn công phức tạp hơn. |
| Khuyến nghị | 0.0 | Lỗ hổng hoặc phát hiện được đánh giá khuyến nghị thường là thông tin mô tả, cấu hình, hoặc chi tiết kỹ thuật không thể khai thác để gây hại. Không yêu cầu xử lý khẩn cấp. |
Tất cả các lỗ hổng phát hiện được trình bày trong báo cáo được các kiểm thử viên tính toán và đánh giá dựa trên CVSS 3.1 được cập nhật và sửa đổi ngày 10/07/2019.
4. Ví dụ
Với lỗ hổng SQL Injection, nhóm số liệu môi trường và số liệu tạm thời không có thông tin đặc biệt cần lưu ý nên được cài đặt mặc định, kiểm thử viên đánh giá vector CVSS:3.1/ AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H xác định đánh giá của các thông số như sau:
| Chỉ số | Tên tiếng Việt | Giá trị (Code) |
|---|---|---|
| Attack Vector (AV) | Vector tấn công | Network (N) |
| Attack Complexity (AC) | Độ phức tạp tấn công | Low (L) |
| Privileges Required (PR) | Quyền hạn yêu cầu | None (N) |
| User Interaction (UI) | Tương tác người dùng | None (N) |
| Scope (S) | Phạm vi | Unchanged (U) |
| Confidentiality (C) | Tính bí mật | High (H) |
| Integrity (I) | Tính toàn vẹn | High (H) |
| Availability (A) | Tính sẵn sàng | High (H) |
Điều này có nghĩa là, kẻ tấn công sử dụng mạng, thực hiện một cuộc tấn công có độ phức tạp thấp với quyền người dùng bình thường nào cũng có thể thực hiện được. Điều này cho phép kẻ tấn công đọc dữ liệu bí mật, thay đổi một phần dữ liệu, làm gián đoạn việc truy cập của người dùng hoặc gây ra tình trạng không thể truy cập tới thông tin cần thiết. Thông số đầy đủ được chấm điểm như sau:
Dựa vào kết quả chấm điểm trên, điểm số cuối cùng thu được cho lỗ hổng là 9.8, tương đương với đánh giá mức độ nguy hiểm Nghiêm trọng.
5. Tham chiếu
Các tài nguyên CVSS mới nhất có thể được tìm thấy tại: https://www.first.org/cvss/
Điểm số được chấm tại: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
Tài liệu hướng dẫn chính thức được đăng tải tại: https://www.first.org/cvss/v3-1/user-guide