본문으로 바로가기
반응형

CVSS(Common Vulnerability Scoring System)


NVD(National Vulnerability Database, 국제 취약점 데이터베이스)에서는 Vulnerability Metrics로 CVSS를 제공한다.

CVSS는 Common Vulnerability Scoring System의 약어이다.  알려진 보안 취약점(CVE)에 대해 MITRE에서 제공하는 정보를 기반으로 NVD에서 추가해 취약성에 대한 영향 점수를 제공한다.


[CVE(Common Vulnerabilities and Exposures)란? : http://www.leafcats.com/143 ]


NVD v2는 모든 CVE 취약점에 대해서 각 취약점의 고유 특성을 나타내는 CVSS 기본 score를 제공한다. 이 기본 점수는 외부의 상황에 따라 변화하는 점수가 아닌 고정적인 점수이다. 이를 보완하기 위해 NVD에서는 점수 계산기를 제공해서 임시 데이터를 추가하고 환경에 따른 취약점 영향 정도를 반영할 수 있도록 커스터마이즈된 점수를 계산할 수도 있다.


또한, CVSS 점수를 결정하는 요인(Vector)들에 대한 정보도 함께 제공해 주기 때문에 취약점이 발생하게 된 원인에 대한 단서가 될 수 있다.



CVSS v2 Vectors


CVSS Vetor는 아래와 같은 형식을 취한다.


(AV:[L,A,N]/AC:[H,M,L]/Au:[N,S,M]/C:[N,P,C]/I:[N,P,C]/A:[N,P,C])


AV, AC, AU 등은 측정 항목의 가능한 값을 나타내며, 대괄호에 해당하는 값들 중 하나를 갖는다.

ex. (AV:L/AC:H/Au:N/C:N/I:P/A:C) , (AV:A/AC:L/Au:M/C:C/I:N/A:P) 


이 요소들에 대한 정의는 아래와 같다.


Metric : AV = AccessVector (관련 악용 범위)

가능한 값 : L = 로컬 액세스, A = 인접한 네트워크, N = 네트워크


Metric : AC = AccessComplexity (요구되는 공격 복잡성)

가능한 값 : H = 높음, M = 중간, L = 낮음


Metric : Au = Authentication (악용에 필요한 인증 수준)

가능한 값 : N = 필요 없음, S = 단일 인스턴스, M = 복수 인스턴스


Metric : C = ConfImpact (기밀성에 대한 영향)

가능한 값 : N = None, P = Partial, C = Complete


Metric : I = IntegImpact (무결성 영향도)

가능한 값 : N = None, P = Partial, C = Complete


Metric : A = AvailImpact (가용성 영향)

가능한 값 : N = None, P = Partial, C = Complete




반응형

 Other Contents