ВЕРСИИ ОБЩЕЙ СИСТЕМЫ ОЦЕНКИ УЯЗВИМОСТЕЙ

VERSIONS OF THE COMMON VULNERABILITY SCORING SYSTEM

Polina Polyanskaya

student, Department KB-2 "Information and analytical systems of cybersecurity", MIREA - Russian Technological University,

Russia, Moscow

АННОТАЦИЯ

В статье описана общая система оценки уязвимостей. Представлены различные версии системы. Описаны особенности каждой версии. Сделан вывод об использовании системы.

ABSTRACT

The article describes a general vulnerability assessment system. Various versions of the system are presented. The features of each version are described. The conclusion about the use of the system is made.

Ключевые слова: уязвимость; система оценивания; информационная безопасность; программное обеспечение.

Keywords: vulnerability, assessment system, information security, software.

Common Vulnerability Scoring System (CVSS) – это открытый международный стандарт оценки уровня опасности выявленных уязвимостей программного обеспечения и информационной инфраструктуры. Первая версия стандарта была разработана в 2004 году, однако впоследствии были выпущены обновленные версии, улучшающие точность и гибкость оценивания рисков безопасности.

Вторая версия (CVSS v2) стала первой широко используемой версией стандарта и действовала вплоть до появления следующей версии. Основные компоненты включают три метрики: базовую оценку, временную и окружение. Базовая оценка учитывала такие факторы, как доступность системы, сложность эксплуатации уязвимости и влияние атаки на конфиденциальность, целостность и доступность ресурсов. Однако эта версия критиковалась за недостаточную детализацию и ограниченность возможностей настройки показателей риска в зависимости от конкретных условий эксплуатации системы.

Выпущенная в 2015 году третья версия (CVSS v3) существенно улучшила качество оценки угроз. Она добавила новые показатели, включая возможность удаленного доступа к уязвимой системе, наличие права на эксплуатацию уязвимости и возможность компрометации конфиденциальности. Версия также ввела понятие “атакующего” и степени влияния на инфраструктуру, позволяя точнее оценивать потенциальные последствия атак. В отличие от предыдущей версии, оценка была представлена двумя основными показателями: эксплуатационная (эксплуатационные характеристики уязвимости) и целевая (характеристики целевой среды).

Самая новая версия CVSS, вышедшая в апреле 2023 года, предлагает ещё больше преимуществ по сравнению с предыдущими версиями. Четвертая версия (CVSS v4) включает дополнительные показатели оценки, повышающую точность анализа угрозы. Например, добавлены индикаторы атрибуции атакующих действий, включающие вероятность успешной эксплуатации и скорость распространения эксплойта среди пользователей. Важным нововведением стало разделение процесса оценки на два этапа: предварительную оценку риска и последующий уточняющий этап.

Таким образом, каждая следующая версия CVSS улучшает методы оценки и позволяет лучше учитывать специфику реальных угроз и особенности инфраструктуры организаций, обеспечивая надежную основу для принятия решений по защите IT-инфраструктуры.

Список литературы:

1. Столярова Н. Я., Золотухина Е. Б. Классификация программного приложения с помощью инструментальных методов обработки информации согласно метрике уязвимостей CVSS V2.0 // Colloquium-Journal. – 2019. – № 11-1(35). – С. 136-142.
2. БДУ – CVSS Calculator // Банк данных угроз безопасности информации: сайт. – URL: https://bdu.fstec.ru/calc.