कॉमन वल्नेरेबिलिटी स्कोरिंग सिस्टम

कॉमन वल्नेरेबिलिटी स्कोरिंग सिस्टम (सीवीएसएस) कंप्यूटर सिक्योरिटी वल्नेरेबिलिटी (कंप्यूटिंग) की गंभीरता का आकलन करने के लिए फ्री और ओपन इंडस्ट्री स्टैण्डर्ड है। सीवीएसएस वल्नेरेबिलिटी के लिए सेवरिटी स्कोर निर्दिष्ट करने का प्रयास करता है, जिससे रेस्पॉन्डर्स को थ्रेट के अनुसार रेस्पॉन्सेस और रिसोर्सेज को प्राथमिकता देने की अनुमति मिलती है। स्कोर की गणना सूत्र के आधार पर की जाती है जो कई सॉफ्टवेयर मीट्रिक पर निर्भर करता है जो किसी एक्सप्लॉइट की सरलता और इम्पैक्ट का अनुमान लगाता है। स्कोर 0 से 10 तक होता है, जिसमें 10 सबसे सीरियस होता है। जबकि कई लोग सेवरिटी का निर्धारण करने के लिए केवल सीवीएसएस बेस स्कोर का उपयोग करते हैं,, टेम्पोरल और एनवायर्नमेंटल स्कोर भी उपस्थित होते हैं, जो क्रमशः मिटिगेशंस की अवेलेबिलिटी और आर्गेनाईजेशन के भीतर व्यापक रूप से कितने वल्नरेबल सिस्टम्स उपस्थित हैं इसका ध्यान में रखते हैं।

सीवीएसएस (सीवीएसएसवी 3.1) का वर्तमान वर्जन जून 2019 में प्रस्तावित किया गया था।^[1]

इतिहास

2003/2004 में राष्ट्रीय अवसंरचना सलाहकार परिषद (एनआईएसी) द्वारा किए गए शोध ने फरवरी 2005 में सीवीएसएस वर्जन 1 (सीवीएसएस v1) को लॉन्च किया।^[2] सॉफ़्टवेयर भेद्यताओं की विवृत और सार्वभौमिक मानक गंभीरता रेटिंग प्रदान करने के लिए डिज़ाइन किए जाने के टारगेट के साथ हैं। यह प्रारंभिक मसौदा सहकर्मी समीक्षा या अन्य संगठनों द्वारा समीक्षा के अधीन नहीं था। अप्रैल 2005 में, एनआईएसी ने भविष्य के विकास के लिए सीवीएसएस का संरक्षक बनने के लिए घटना प्रतिक्रिया और सुरक्षा टीमों के फोरम का चयन किया।^[3][4]

उत्पादन में सीवीएसएस v1 का उपयोग करने वाले विक्रेताओं की प्रतिक्रिया ने सुझाव दिया कि सीवीएसएस के प्रारंभिक मसौदे के साथ सिग्नीफिकेन्ट मुद्दे थे। सीवीएसएस वर्जन 2 (सीवीएसएसवी2) पर कार्य अप्रैल 2005 में प्रारंभ हुआ और अंतिम विनिर्देश जून 2007 में प्रारंभ किया गया।^[5]

आगे की प्रतिक्रिया के परिणामस्वरूप सीवीएसएस वर्जन 3 पर कार्य प्रारंभ हुआ^[6] 2012 में, जून 2015 में निरंतर सीवीएसएसv3.0 के साथ समाप्त किया गया।^[2][7]

शब्दावली

सीवीएसएस मूल्यांकन चिंता के तीन क्षेत्रों को मापता है:

1. वल्नेरेबिलिटी के आंतरिक गुणों के लिए बेस मेट्रिक्स

2. वल्नेरेबिलिटी के जीवनकाल में विकसित होने वाली विशेषताओं के लिए टेम्पोरल मेट्रिक्स

3. वुलनेराबिलिटीज़ के लिए पर्यावरण मेट्रिक्स जो विशेष कार्यान्वयन या पर्यावरण पर निर्भर करते हैं।

इन मीट्रिक समूहों में से प्रत्येक के लिए संख्यात्मक अंक उत्पन्न होता है। वेक्टर स्ट्रिंग (या सीवीएसएसv2 में एन्यूनात्र वेक्टर), टेक्स्ट के ब्लॉक के रूप में सभी मीट्रिक के मानों का प्रतिनिधित्व करता है।

वर्जन 2

सीवीएसएसv2 के लिए संपूर्ण अधिकारपत्रीकरण फर्स्ट से उपलब्ध है।^[8] नीचे सारांश दिया गया है।

बेस मेट्रिक्स

एक्सेस वेक्टर

एक्सेस वेक्टर (एवी) दिखाता है कि वल्नेरेबिलिटी का एक्सप्लोइटेशन कैसे किया जा सकता है।

वैल्यू	विवरण	अंक
लोकल (एल)	अटैककर्स के निकट या तो वल्नरेबल सिस्टम (जैसे फायरवायर अटैककर्स) या लोकल अकाउंट (जैसे प्रिविलेज एस्कालेशन अटैककर्स) तक फिजिकल एक्सेस होना चाहिए।	0.395
अदजसेंट नेटवर्क (ए)	अटैककर्स के निकट वल्नरेबल सिस्टम के बोर्डकास्ट या कोलिजन डोमेन तक एक्सेस होना चाहिए (जैसे एआरपी स्पूफिंग, ब्लूटूथ अटैककर्स)।	0.646
नेटवर्क (एन)	वल्नरेबल इंटरफ़ेस ओएसआई नेटवर्क स्टैक की लेयर 3 या उससे ऊपर पर कार्यकर रहा है। इस प्रकार की वुलनेराबिलिटीज़ को अधिकांशतः ओवरफ्लो से एक्सप्लोइटेबल के रूप में वर्णित किया जाता है (उदाहरण के लिए नेटवर्क सर्विस में ओवरफ्लो बफर रिमोट)	1.0

एक्सेस कम्प्लेक्सिटी

एक्सेस कम्प्लेक्सिटी (एसी) मीट्रिक बताती है कि अनुसंधान गई वल्नेरेबिलिटी का लाभ उठाना कितना आसान या कठिन है।

वैल्यू	विवरण	अंक
हाई (एच)	स्पेशलिज़्ड कंडीशन उपस्थित हैं, जैसे नैरो विंडो के साथ रेस की कंडीशन, या सोशल इंजीनियरिंग विधियों की आवश्यकता जो जानकार लोगों द्वारा सरलता से देखी जा सकती है।	0.35
मीडियम (एम)	अटैककर्स के लिए कुछ अतिरिक्त आवश्यकताएं हैं, जैसे अटैककर्स की उत्पत्ति पर सीमा, अनकॉमन, नॉन-डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ वल्नरेबल सिस्टम के चलने की आवश्यकता।	0.61
लो (एल)	वल्नेरेबिलिटी का एक्सप्लोइटिंग करने के लिए कोई विशेष कंडीशन नहीं हैं, जैसे कि जब सिस्टम बड़ी संख्या में यूजर के लिए उपलब्ध हो, या वल्नरेबल कॉन्फ़िगरेशन यूबीक्विटोस हो।	0.71

ऑथेंटिकेशन

ऑथेंटिकेशन (एयू) मेट्रिक उस समय की संख्या का वर्णन करता है, जब अटैककर्स को टारगेट का लाभ उठाने के लिए उसे ऑथेंटिकेट करना होता है। इसमें (उदाहरण के लिए) एक्सेस प्राप्त करने के लिए किसी नेटवर्क का ऑथेंटिकेशन सम्मिलित नहीं है। लोकल रूप से एक्सप्लोइटेबल वुलनेराबिलिटीज़ के लिए, यह मान मात्र एकल या एकाधिक पर सेट किया जाना चाहिए यदि प्रारंभिक एक्सेस के बाद और ऑथेंटिकेशन की आवश्यकता हो।

वैल्यू	विवरण	अंक
मल्टीप्ल (एम)	वल्नेरेबिलिटी के एक्सप्लोइटेशन के लिए आवश्यक है कि अटैककर्स दो या अधिक बार ऑथेंटिकेट करे, भले ही समान क्रेडेंशियल्स का उपयोग किया जाए।	0.45
सिंगल (एस)	वल्नेरेबिलिटी का लाभ उठाने के लिए अटैककर्स को ऑथेंटिकेट करना होगा।	0.56
नन (एन)	अटैककर्स को ऑथेंटिकेट करने की कोई आवश्यकता नहीं है।	0.704

इम्पैक्ट मेट्रिक्स

कॉन्फिडेंशियलिटी

कॉन्फिडेंशियलिटी (सी) मीट्रिक सिस्टम द्वारा संसाधित डेटा की कॉन्फिडेंशियलिटी पर इम्पैक्ट का वर्णन करता है।

वैल्यू	विवरण	अंक
नन (एन)	सिस्टम की कॉन्फिडेंशियलिटी पर कोई इम्पैक्ट नहीं पड़ता है।	0.0
पार्शियल (पी)	इनफार्मेशन का अधिक डिसक्लोस्जर हुई है, किन्तु डैमेज की सीमा इस प्रकार सीमित है कि सभी डेटा उपलब्ध नहीं हैं।	0.275
कम्पलीट (सी)	सिस्टम पर किसी भी / सभी डेटा तक एक्सेस प्रदान करने के लिए कुल इनफार्मेशन डिसक्लोस्जर है। वैकल्पिक रूप से, केवल कुछ रिस्ट्रिक्टेड इनफार्मेशन तक ही एक्सेस प्राप्त की जाती है, किन्तु प्रकट की गई इनफार्मेशन डायरेक्ट, सीरियस इम्पैक्ट प्रस्तुत करती है।	0.660

इंटीग्रिटी

इंटीग्रिटी (I) मीट्रिक शोषित सिस्टम की इंटीग्रिटी पर इम्पैक्ट का वर्णन करता है।

वैल्यू	विवरण	अंक
नन (एन)	सिस्टम की इंटीग्रिटी पर कोई इम्पैक्ट नहीं पड़ता है।	0.0
पार्शियल (पी)	कुछ डेटा या सिस्टम फ़ाइलों का मॉडिफिकेशन संभव है, किन्तु मॉडिफिकेशन का स्कोप सीमित है।	0.275
कम्पलीट (सी)	इंटीग्रिटी का कुल लोस होता है; अटैककर्स टारगेट सिस्टम पर किसी भी फाइल या इनफार्मेशन को संशोधित कर सकता है।	0.660

अवेलेबिलिटी

अवेलेबिलिटी (ए) मीट्रिक टारगेट सिस्टम की अवेलेबिलिटी पर इम्पैक्ट का वर्णन करती है। अटैककर्स जो नेटवर्क बैंडविड्थ, प्रोसेसर चक्र, मेमोरी या किसी अन्य रिसोर्स का उपभोग करते हैं, सिस्टम की अवेलेबिलिटी को अफेक्टेड करते हैं।

वैल्यू	विवरण	अंक
नन (एन)	सिस्टम की अवेलेबिलिटी पर कोई इम्पैक्ट नहीं पड़ता है।	0.0
पार्शियल (पी)	परफॉरमेंस लो हो ई है या कुछ फंक्शनलिटी भी लो गई है।	0.275
कम्पलीट (सी)	अटैकएड किए गए रिसोर्स की अवेलेबिलिटी का कुल लोस हुआ है।	0.660

गणना

इन छह मेट्रिक्स का उपयोग एक्सप्लोइटेशन क्षमता की गणना करने और वल्नेरेबिलिटी के उप-स्कोर को अफेक्टेड करने के लिए किया जाता है। इन उप-स्कोरों का उपयोग समग्र आधार स्कोर की गणना के लिए किया जाता है।

${\displaystyle {\textsf {Exploitability}}=20\times {\textsf {AccessVector}}\times {\textsf {AccessComplexity}}\times {\textsf {Authentication}}}$

${\displaystyle {\textsf {Impact}}=10.41\times (1-(1-{\textsf {ConfImpact}})\times (1-{\textsf {IntegImpact}})\times (1-{\textsf {AvailImpact}}))}$

${\displaystyle f({\textsf {Impact}})={\begin{cases}0,&{\text{if }}{\textsf {Impact}}{\text{ = 0}}\\1.176,&{\text{otherwise }}\end{cases}}}$

${\displaystyle {\textsf {BaseScore}}={\textsf {roundTo1Decimal}}(((0.6\times {\textsf {Impact}})+(0.4\times {\textsf {Exploitability}})-1.5)\times f({\textsf {Impact}}))}$

वल्नेरेबिलिटी के लिए सीवीएसएस वेक्टर बनाने के लिए मेट्रिक्स को जोड़ा गया है।

उदाहरण

बफर ओवरफ्लो वल्नेरेबिलिटी वेब सर्वर सॉफ़्टवेयर को अफेक्टेड करती है जो दूरस्थ उपयोगकर्ता को सिस्टम का पार्शियल नियंत्रण प्राप्त करने की अनुमति देती है, जिसमें इसे शटिंग करने की क्षमता भी सम्मिलित है:

मेट्रिक	वैल्यू	विवरण
एक्सेस वेक्टर	नेटवर्क	वल्नेरेबिलिटी को किसी भी नेटवर्क से एक्सेस किया जा सकता है जो टारगेट सिस्टम तक एक्सेस सकता है - सामान्यतः संपूर्ण इंटरनेट
एक्सेस कोम्प्लेक्सिटी	लो	एक्सेस के लिए कोई विशेष आवश्यकताएँ नहीं हैं
ऑथेंटिकेशन	नन	वल्नेरेबिलिटी का लाभ उठाने के लिए ऑथेंटिकेशन की कोई आवश्यकता नहीं है
कॉन्फिडेंशियलिटी	पार्शियल	अटैककर्स सिस्टम पर उपस्थित कुछ फाइलों और डेटा को रीड कर सकता है
इंटीग्रिटी	पार्शियल	अटैककर्स सिस्टम पर कुछ फाइलों और डेटा को परिवर्तित कर सकता है
अवेलेबिलिटी	कम्पलीट	अटैककर्स सिस्टम को शटिंग करके सिस्टम और वेब सर्विस को एनवैलब्ले / अनरेस्पोंसिव बना सकता है

यह 9.0 का समग्र आधार स्कोर देते हुए 10 का एक्सप्लोइटेबल उप-स्कोर और 8.5 का इम्पैक्ट उप-स्कोर देगा।

इस कंडीशन में बेस स्कोर के लिए वेक्टर AV:N/AC:L/Au:N/C:P/I:P/A:C होगा। स्कोर और वेक्टर सामान्यतः साथ प्रस्तुत किए जाते हैं जिससे कि प्राप्तकर्ता वल्नेरेबिलिटी की प्रकृति को पूरी प्रकार से समझ सके और यदि आवश्यक हो तो अपने स्वयं के पर्यावरण स्कोर की गणना कर सके।

टेम्पोरल मेट्रिक्स

टेम्पोरल मेट्रिक्स का मूल्य वल्नेरेबिलिटी के जीवनकाल में परिवर्तित कर जाता है, क्योंकि एक्सप्लोइटेशन विकसित, सारांश और ऑटोमेटेड होता है और जैसे ही मिटिगेशन और फिक्स उपलब्ध होते हैं।

एक्सप्लोइटाबिलिटी

एक्सप्लोइटेशन क्षमता (ई) मीट्रिक एक्सप्लोइटेशन तकनीकों या ऑटोमेटेड एक्सप्लोइटेशन कोड की वर्तमान कंडीशन का वर्णन करती है।

वैल्यू	विवरण	अंक
अनप्रोवेन (यू)	कोई एक्सप्लोइटेशन कोड उपलब्ध नहीं है, या एक्सप्लोइटेशन थ्योरेटिकल है	0.85
प्रूफ ऑफ़ कांसेप्ट (पी)	प्रूफ-ऑफ-कॉन्सेप्ट एक्सप्लोइटेशन कोड या परफॉरमेंस अटैककर्स उपलब्ध हैं, किन्तु व्यापक उपयोग के लिए व्यावहारिक नहीं हैं। वल्नेरेबिलिटी के सभी उदाहरणों के अगेंस्ट फंक्शनल नहीं है।	0.9
फंक्शनल (एफ)	फंक्शनल एक्सप्लोइटेशन कोड उपलब्ध है, और अधिकांश स्थितियों में कार्यकरता है जहां वल्नेरेबिलिटी उपस्थित है।	0.95
हाई (एच)	मोबाइल कोड (जैसे वोर्म या वायरस) सहित ऑटोमेटेड कोड द्वारा वल्नेरेबिलिटी का लाभ उठाया जा सकता है।	1.0
नोट डिफाइंड (एनडी)	यह इस स्कोर को उपेक्षित करने का संकेत है।	1.0

रेमेडिएशन लेवल

वल्नेरेबिलिटी का सुधारात्मक लेवल (आरएल) वल्नेरेबिलिटी के टेम्पररी स्कोर को लो करने की अनुमति देता है क्योंकि मिटिगेशन और ऑफिसियल फिक्स उपलब्ध कराए जाते हैं।

वैल्यू	विवरण	अंक
ऑफिसियल फिक्स (ओ)	कम्पलीट वेंडर सलूशन उपलब्ध है - या तो पैच या अपग्रेड।	0.87
टेम्पररी फिक्स (टी)	वेंडर से ऑफिसियल किन्तु टेम्पररी फिक्स / मिटिगेशन उपलब्ध है।	0.90
सलूशन (डब्ल्यू)	अनऑफिसियल, नॉन-वेंडर सलूशन या मिटिगेशन उपलब्ध है - संभवतः अफेक्टेड प्रोडक्ट या किसी अन्य तृतीय पक्ष के यूजर द्वारा डेवलप्ड या सजस्ट किया गया हो।	0.95
एनवैलब्ले (यू)	कोई सलूशन उपलब्ध नहीं है, या सजस्ट किये गए सलूशन को प्रारम्भ करना असंभव है। जब वल्नेरेबिलिटी की पहचान की जाती है तो यह रेमेडिएशन लेवल की सामान्य प्रारंभिक कंडीशन होती है।	1.0
नोट डिफाइंड (एनडी)	यह इस स्कोर को उपेक्षित करने का संकेत है।	1.0

रिपोर्ट कॉन्फिडेंस

वल्नेरेबिलिटी की रिपोर्ट विश्वास (आरसी) वल्नेरेबिलिटी के अस्तित्व में विश्वास के लेवल को मापता है और वल्नेरेबिलिटी के तकनीकी विवरण की विश्वसनीयता को भी मापता है।

वैल्यू	विवरण	अंक
अनकंफर्म्ड (यूसी)	अनकंफर्म्ड सोर्स, मल्टीप्ल कन्फ्लिक्टिंग सोर्स। रउमरेड वल्नेरेबिलिटी।	0.9
अनकरोबोरेटेड (यूआर)	कई सोर्स जो व्यापक रूप से सहमत हैं- वल्नेरेबिलिटी के बारे में शेष अनिश्चितता का लेवल हो सकता है	0.95
कंफर्म्ड (सी)	अफेक्टेड प्रोडक्ट के वेंडर या manufacturer द्वारा स्वीकार और कंफर्म्ड की गई।	1.0
नोट डिफाइंड (एनडी)	यह इस स्कोर को उपेक्षित करने का संकेत है।	1.0

गणना

इन तीन मेट्रिक्स का उपयोग बेस स्कोर के संयोजन के साथ किया जाता है जिसकी गणना पूर्व से ही संबंधित वेक्टर के साथ वल्नेरेबिलिटी के लिए टेम्पररी स्कोर बनाने के लिए की जाती है।

लौकिक स्कोर की गणना करने के लिए प्रयुक्त सूत्र है:

${\displaystyle {\textsf {TemporalScore}}={\textsf {roundTo1Decimal}}({\textsf {BaseScore}}\times {\textsf {Exploitability}}\times {\textsf {RemediationLevel}}\times {\textsf {ReportConfidence}})}$

उदाहरण

ऊपर दिए गए उदाहरण के साथ निरंतर रखने के लिए, यदि वेंडर को पहली बार मेलिंग सूची में प्रूफ-ऑफ़-कॉन्सेप्ट कोड पोस्ट करके वल्नेरेबिलिटी के बारे में सूचित किया गया था, तो प्रारंभिक टेम्पोरल स्कोर की गणना नीचे दिखाए गए मानों का उपयोग करके की जाएगी:

मीट्रिक	वैल्यू	विवरण
एक्सप्लोइटेशन	प्रूफ ऑफ़ कांसेप्ट	बेसिक एक्सप्लोइटेशन की फंक्शनलिटी दिखाने के लिए प्रूफ ऑफ़ कांसेप्ट, नॉन-ऑटोमेटेड कोड प्रदान किया जाता है।
रेमेडिएशन लेवल	एनवैलब्ले	वेंडर को अभी तक मिटिगेशन प्रदान करने या उचित करने का अवसर नहीं मिला है।
रिपोर्ट कॉन्फिडेंस	अनकंफर्म्ड	वल्नेरेबिलिटी की ही रिपोर्ट की गई है

यह E:P/RL:U/RC:UC (या AV:N/AC:L/Au:N/C:P/I:P का कम्पलीट वेक्टर) के टेम्पररी वेक्टर के साथ 7.3 का टेम्पररी स्कोर देगा। /ए:सी/ई:पी/आरएल:यू/आरसी:यूसी).

यदि वेंडर वल्नेरेबिलिटी की कंफर्म्ड करता है, तो ई: पी / आरएल: यू / आरसी: सी के टेम्पररी वेक्टर के साथ स्कोर 8.1 तक बढ़ जाता है।

वेंडर की ओर से टेम्पररी फिक्स स्कोर को वापस 7.3 (E:P/RL:T/RC:C) तक लो कर देगा, जबकि ऑफिसियल फिक्स इसे और घटाकर 7.0 (E:P/RL:O/RC:C) कर देगा। चूंकि यह सुनिश्चित करना संभव नहीं है कि प्रत्येक अफेक्टेड सिस्टम को उचित कर दिया गया है पैच कर दिया गया है, टेम्पररी स्कोर वेंडर के कार्यों के आधार पर निश्चित लेवल से लो नहीं हो सकता है, और यदि वल्नेरेबिलिटी के लिए ऑटोमेटेड एक्सप्लोइटेशन विकसित किया जाता है तो यह बढ़ सकता है।

एनवायर्नमेंटल मेट्रिक्स

पर्यावरण मेट्रिक्स आधार और वर्तमान टेम्पररी स्कोर का उपयोग वल्नरेबल प्रोडक्ट या सॉफ़्टवेयर को नियुक्त करने की विधि के संदर्भ में वल्नेरेबिलिटी की गंभीरता का आकलन करने के लिए करते हैं। इस उपाय की गणना व्यक्तिपरक रूप से की जाती है, सामान्यतःप्रभावित पक्षों द्वारा।

कोलैटरल डैमेज पोटेंशियल

कोलैटरल डैमेज पोटेंशियल (सीडीपी) मीट्रिक फिजिकल प्रॉपर्टी जैसे उपकरण (और जीवन) पर पोटेंशियल लोस या इम्पैक्ट को मापता है, यदि वल्नेरेबिलिटी का एक्सप्लोइटेशन किया जाता है तो अफेक्टेड आर्गेनाईजेशन पर फाइनेंसियल इम्पैक्ट पड़ता है।

वैल्यू	विवरण	अंक
नन (एन)	प्रॉपर्टी, रेवेनुए या प्रोडक्टिविटी के लोस की कोई संभावना नहीं है	0
लो (एल)	प्रॉपर्टी को माइनर लोस, या रेवेनुए या प्रोडक्टिविटी का सामान्य लोस	0.1
लो-मीडियम (एलएम)	मॉडरेट लोस या डैमेज	0.3
मीडियम-हाई (एमएच)	सिग्नीफिकेन्ट लोस या डैमेज	0.4
हाई (एच)	कटस्ट्रोफिक लोस या डैमेज	0.5
नोट डिफाइंड (एनडी)	यह इस स्कोर को उपेक्षित करने का संकेत है।	0

टारगेट डिस्ट्रीब्यूशन

टारगेट डिस्ट्रीब्यूशन (टीडी) मीट्रिक पर्यावरण में वल्नरेबल प्रणालियों के अनुपात को मापता है।

वैल्यू	विवरण	अंक
नन (एन)	कोई टारगेट सिस्टम उपस्थित नहीं है, वे केवल कुछ लेबोरेटरी सेटिंग में उपस्थित हैं	0
लो (एल)	1-25% सिस्टम रिस्क में हैं	0.25
मीडियम (एम)	26–75% सिस्टम रिस्क में हैं	0.75
हाई (एच)	76-100% सिस्टम रिस्क में हैं	1.0
नोट डिफाइंड (एनडी)	यह इस स्कोर को उपेक्षित करने का संकेत है।	1.0

इम्पैक्ट सब्सकोर मॉडिफाइयर

तीन और मेट्रिक्स कॉन्फिडेंशियलिटी (सीआर),इंटीग्रिटी (आईआर) और अवेलेबिलिटी (एआर) के लिए स्पेशलिज़्ड सुरक्षा आवश्यकताओं का आकलन करते हैं, जिससे पर्यावरण स्कोर को यूजर के पर्यावरण के अनुसार किया जा सकता है।

वैल्यू	विवरण	अंक
लो (एल)	(कॉन्फिडेंशियलिटी/इंटीग्रिटी/अवेलेबिलिटी) के लोस का आर्गेनाईजेशन पर केवल सीमित प्रभाव पड़ने की संभावना है।	0.5
मीडियम (एम)	(कॉन्फिडेंशियलिटी/इंटीग्रिटी/अवेलेबिलिटी) के लोस का आर्गेनाईजेशन पर गंभीर प्रभाव पड़ने की संभावना है।	1.0
हाई (एच)	(कॉन्फिडेंशियलिटी/इंटीग्रिटी/अवेलेबिलिटी) के लोस का आर्गेनाईजेशन पर कटस्ट्रोफिक प्रभाव पड़ने की संभावना है।	1.51
नोट डिफाइंड (एनडी)	यह इस स्कोर को उपेक्षित करने का संकेत है।	1.0

गणना

पर्यावरण स्कोर की गणना करने और संबंधित पर्यावरण वेक्टर का उत्पादन करने के लिए पांच पर्यावरण मेट्रिक्स का उपयोग पूर्व से मूल्यांकन किए गए आधार और लौकिक मेट्रिक्स के संयोजन के साथ किया जाता है।

${\displaystyle {\textsf {AdjustedImpact}}=\min(10,10.41\times (1-(1-{\textsf {ConfImpact}}\times {\textsf {ConfReq}})\times (1-{\textsf {IntegImpact}}\times {\textsf {IntegReq}})\times (1-{\textsf {AvailImpact}}\times {\textsf {AvailReq}})))}$

${\displaystyle {\textsf {AdjustedTemporal}}={\textsf {TemporalScore}}{\text{ recomputed with the }}{\textsf {BaseScore}}{\text{s }}{\textsf {Impact}}{\text{ sub-equation replaced with the }}{\textsf {AdjustedImpact}}{\text{ equation}}}$

${\displaystyle {\textsf {EnvironmentalScore}}={\textsf {roundTo1Decimal}}(({\textsf {AdjustedTemporal}}+(10-{\textsf {AdjustedTemporal}})\times {\textsf {CollateralDamagePotential}})\times {\textsf {TargetDistribution}})}$

उदाहरण

यदि उपरोक्त वल्नरेबल वेब सर्वर का उपयोग किसी बैंक द्वारा ऑनलाइन बैंकिंग सेवाएं प्रदान करने के लिए किया गया था, और वेंडर से टेम्पररी फिक्स उपलब्ध था, तो पर्यावरण स्कोर का मूल्यांकन इस प्रकार किया जा सकता है:

मीट्रिक	वैल्यू	विवरण
कोलैटरल डैमेज पोटेंशियल	मीडियम हाई	यह मान इस बात पर निर्भर करेगा कि यदि वल्नरेबल सिस्टम का एक्सप्लोइटेशन किया जाता है तो अटैककर्स किस इनफार्मेशन तक एक्सेस प्राप्त कर सकता है। इस कंडीशन में, मैं मान रहा हूं कि कुछ पर्सनल बैंकिंग इनफार्मेशन उपलब्ध है, इसलिए बैंक पर सिग्नीफिकेन्ट प्रतिष्ठात्मक इम्पैक्ट है।
टारगेट डिस्ट्रीब्यूशन	हाई	बैंक के सभी वेब सर्वर वल्नरेबल सॉफ़्टवेयर चलाते हैं।
कॉन्फिडेंशियलिटी की आवश्यकता	हाई	कस्टमर अपेक्षा करते हैं कि उनकी बैंकिंग इनफार्मेशन गोपनीय होगी।
इंटीग्रिटी की आवश्यकता	हाई	अथॉरिटी के बिना फाइनेंसियल और पर्सनल इनफार्मेशन परिवर्तित करने योग्य नहीं होनी चाहिए।
अवेलेबिलिटी की आवश्यकता	लो	ऑनलाइन बैंकिंग सेवाओं की अनुपलब्धता से कस्टमर को असुविधा हो सकती है, किन्तु कटस्ट्रोफिक नहीं।

यह 8.2 का पर्यावरण स्कोर और सीडीपी:एमएच/टीडी:एच/सीआर:एच/आईआर:एच/एआर:एल का पर्यावरण वेक्टर देगा। यह स्कोर 7.0-10.0 की सीमा के भीतर है, और इसलिए अफेक्टेड बैंक के व्यवसाय के संदर्भ में सिग्नीफिकेन्ट वल्नेरेबिलिटी है।

वर्जन 2 की आलोचना

कई विक्रेताओं और संगठनों ने सीवीएसएसv2 के प्रति असंतोष व्यक्त किया।

रिस्क आधारित सुरक्षा, जो ओपन सोर्स वल्नरेबिलिटी डेटाबेस का प्रबंधन करती है, और ओपन सिक्योरिटी फाउंडेशन ने संयुक्त रूप से सीवीएसएसv2 की न्यूनियों और विफलताओं के बारे में फर्स्ट को सार्वजनिक पत्र प्रकाशित किया।^[9] लेखकों ने कई मेट्रिक्स में ग्रैन्युलैरिटी की कमी का उदाहरण दिया, जिसके परिणामस्वरूप सीवीएसएस वैक्टर और स्कोर हैं जो विभिन्न प्रकार और रिस्क प्रोफाइल की वुलनेराबिलिटीज़ को उचित से भिन्न नहीं करते हैं। सीवीएसएस स्कोरिंग सिस्टम को वल्नेरेबिलिटी के त्रुटिहीन इम्पैक्ट के बारे में बहुत अधिक ज्ञान की आवश्यकता के रूप में भी नोट किया गया था।

ऑफिसियल सीवीएसएस विनिर्देशों में पार्शियल और कम्पलीट के मध्य विवरण में कथित अंतराल को भरने के लिए ओरेकल ने कॉन्फिडेंशियलिटी, इंटीग्रिटी और अवेलेबिलिटी के लिए पार्शियल + का नया मीट्रिक मूल्य प्रस्तुत किया।^[10]

वर्जन 3

इनमें से कुछ आलोचनाओं को दूर करने के लिए, सीवीएसएस वर्जन 3 का विकास 2012 में प्रारंभ किया गया था। अंतिम विनिर्देश को सीवीएसएस v3.0 नाम दिया गया था और जून 2015 में निरंतर किया गया था। विशिष्टता अधिकारपत्र के अतिरिक्त, उपयोगकर्ता मार्ग और उदाहरण अधिकारपत्र भी निरंतर किए गए थे।^[11]

कई मेट्रिक्स परिवर्तन गए, जोड़े गए और हटाए गए। 0-10 की उपस्थिता स्कोरिंग सीमा को बनाए रखते हुए नए मेट्रिक्स को सम्मिलित करने के लिए संख्यात्मक सूत्र अपडेट किए गए थे। कोई नहीं (0), लो (0.1-3.9), मीडियम (4.0-6.9), हाई (7.0-8.9), और सीरियस (9.0-10.0) की शाब्दिक गंभीरता रेटिंग^[12] को परिभाषित किया गया था, एनवीडी के लिए परिभाषित श्रेणियों के समान सीवीएसएस वी2 जो उस मानक का भाग नहीं थे .^[13]

वर्जन 2 से परिवर्तन

बेस मेट्रिक्स

बेस वेक्टर में, नए मेट्रिक्स यूजर इंटरेक्शन (यूआई) और प्रिविलेजेज रिक्वायरमेंट (पीआर) को वुलनेराबिलिटीज़ को भिन्न करने में सहायता करने के लिए जोड़ा गया था, जिसके लिए यूजर इंटरेक्शन या यूजर या एडमिनिस्ट्रेटर विशेषाधिकारों का लाभ उठाना अनिवार्य था। पूर्व, ये अवधारणाएँ सीवीएसएसv2 के एक्सेस वेक्टर मीट्रिक का भाग थीं। बेस वेक्टर ने नए स्कोप (एस) मीट्रिक की प्रारंभिक भी देखी, जिसे यह स्पष्ट करने के लिए डिज़ाइन किया गया था कि किन वुलनेराबिलिटीज़ का लाभ उठाया जा सकता है और फिर सिस्टम या नेटवर्क के अन्य भागों पर अटैकएड करने के लिए उपयोग किया जाता है। ये नए मेट्रिक्स बेस वेक्टर को मूल्यांकन की जा रही वल्नेरेबिलिटी के प्रकार को अधिक स्पष्ट रूप से व्यक्त करने की अनुमति देते हैं।

कॉन्फिडेंशियलिटी, इंटीग्रिटी और अवेलेबिलिटी (C, I, A) मेट्रिक्स को सीवीएसएसv2 के पार्शियल, कम्पलीट के स्थान पर कोई नहीं, लो, या हाई स्कोर वाले स्कोर के लिए अद्यतन किया गया था। यह सीआईए मेट्रिक्स पर वल्नेरेबिलिटी के इम्पैक्ट को निर्धारित करने में अधिक लचीलेपन की अनुमति देता है।

एक्सेस कॉम्प्लेक्सिटी का नाम बदलकर अटैक कॉम्प्लेक्सिटी (एसी) कर दिया गया जिससे कि यह स्पष्ट किया जा सके कि एक्सेस विशेषाधिकारों को भिन्न मीट्रिक में ले जाया गया था। यह मीट्रिक अब वर्णन करता है कि इस वल्नेरेबिलिटी का दोहराए जाने योग्य एक्सप्लोइटेशन कैसे हो सकता है; एसी हाई है यदि अटैककर्स को सही समय या अन्य परिस्थितियों की आवश्यकता होती है (उपयोगकर्ता बातचीत के अतिरिक्त, जो भिन्न मीट्रिक भी है) जिसे भविष्य के प्रयासों पर आसानी से दोहराया नहीं जा सकता है।

अटैक वेक्टर (एवी) ने उन वुलनेराबिलिटीज़ का वर्णन करने के लिए फिजिकल (पी) के नए मीट्रिक मूल्य को सम्मिलित किया, जिन्हें परफॉरमेंस करने के लिए डिवाइस या सिस्टम तक फिजिकल एक्सेस की आवश्यकता होती है।

टेम्पोरल मेट्रिक्स

टेम्पोरल मेट्रिक्स सीवीएसएसv2 से अनिवार्य रूप से अपरिवर्तित थे।

एनवायर्नमेंटल मेट्रिक्स

सीवीएसएसv2 के पर्यावरणीय मेट्रिक्स को पूरी प्रकार से हटा दिया गया और अनिवार्य रूप से दूसरे बेस स्कोर के साथ परिवर्तित कर दिया गया, जिसे संशोधित वेक्टर के रूप में जाना जाता है। संशोधित आधार का उद्देश्य समग्र रूप से दुनिया की समानता में किसी आर्गेनाईजेशन या कंपनी के भीतर अंतर को दर्शाना है। स्पेशलिज़्ड वातावरण में कॉन्फिडेंशियलिटी, इंटीग्रिटी और अवेलेबिलिटी के वैल्यू को पकड़ने के लिए नए मेट्रिक्स जोड़े गए है।

वर्जन 3 की आलोचना

सितंबर 2015 में ब्लॉग पोस्ट में, प्रमाणपत्र समन्वय केंद्र ने सीवीएसएसv2 और सीवीएसएसv3.0 की सीमाओं पर चर्चा की, जिसका उपयोग इंटरनेट ऑफ थिंग्स जैसी उभरती प्रौद्योगिकी प्रणालियों में वुलनेराबिलिटीज़ को स्कोर करने में किया जाता है।^[14]

वर्जन 3.1

सीवीएसएस के लिए साधारण अपडेट 17 जून, 2019 को निरंतर किया गया था। सीवीएसएस वर्जन 3.1 का टारगेट नए मेट्रिक्स या मीट्रिक मूल्यों को प्रस्तुत किए बिना उपस्थिता सीवीएसएस वर्जन 3.0 मानक को स्पष्ट करना और सुधारना था, जिससे दोनों स्कोरिंग द्वारा नए मानक को घर्षण रहित अपनाने की अनुमति मिलती है। प्रदाताओं और उपभोक्ताओं को समान रूप से स्कोर करना। सीवीएसएस मानक में फिक्स करते समय प्रयोज्यता प्रमुख विचार था। सीवीएसएस v3.1 में किए जा रहे कई बदलाव सीवीएसएस v3.0 में प्रस्तुत की गई अवधारणाओं की स्पष्टता में फिक्स करने के लिए हैं, और इस प्रकार मानक के उपयोग में समग्र आसानी में फिक्स करते हैं।

फर्स्ट ने पिछले 15 वर्षों और उसके बाद विकसित की जा रही वुलनेराबिलिटीज़, उत्पादों और प्लेटफार्मों पर अधिक से अधिक प्रारम्भ होने के लिए सीवीएसएस को बढ़ाने और परिष्कृत करने के लिए उद्योग विषय-विशेषज्ञों से इनपुट का उपयोग किया है। सीवीएसएस का प्राथमिक टारगेट कई भिन्न-भिन्न निर्वाचन क्षेत्रों में वल्नेरेबिलिटी की गंभीरता को स्कोर करने के लिए नियतात्मक और दोहराने योग्य विधि प्रदान करना है, जिससे सीवीएसएस के उपभोक्ता इस स्कोर को रिस्क, उपचार और मिटिगेशन के बड़े निर्णय मैट्रिक्स के इनपुट के रूप में उपयोग कर सकते हैं। विशेष वातावरण और रिस्क सहिष्णुता होते है।

सीवीएसएस वर्जन 3.1 विनिर्देश के अपडेट में परिभाषाओं का स्पष्टीकरण और उपस्थिता बेस मेट्रिक्स जैसे अटैक वेक्टर, प्रिविलेज आवश्यक, स्कोप और सुरक्षा आवश्यकताएं सम्मिलित हैं। सीवीएसएस के विस्तार की नई मानक विधि, जिसे सीवीएसएस एक्सटेंशन फ्रेमवर्क कहा जाता है, को भी परिभाषित किया गया था, जिससे स्कोरिंग प्रदाता को ऑफिसियल आधार, टेम्पोरल और पर्यावरण मेट्रिक्स को बनाए रखते हुए अतिरिक्त मेट्रिक्स और मीट्रिक समूहों को सम्मिलित करने की अनुमति मिलती है। अतिरिक्त मेट्रिक्स उद्योग क्षेत्रों जैसे कि कॉन्फिडेंशियलिटी, सुरक्षा, मोटर वाहन, स्वास्थ्य देखभाल आदि को कोर सीवीएसएस मानक के बाहर के कारकों को स्कोर करने की अनुमति देते हैं। अंत में, सीवीएसएस शब्दावली को सीवीएसएस वर्जन 3.1 प्रलेखन में प्रयुक्त सभी शब्दों को सम्मिलित करने के लिए विस्तारित और परिष्कृत किया गया है।

एडॉप्शन

सीवीएसएस के वर्जनों को संगठनों और कंपनियों की विस्तृत श्रृंखला द्वारा वल्नेरेबिलिटी की सेवरिटी को मापने के लिए प्राइमरी मेथड के रूप में स्वीकार किया गया है, जिनमें लो सम्मिलित हैं:

• नेशनल वल्नेरेबिलिटी डेटाबेस (एनवीडी)^[15]
• ओपन सोर्स वल्नेरेबिलिटी डेटाबेस (ओएसवीडीबी)^[16]
• सीईआरटी कोआर्डिनेशन सेण्टर,^[17] जो विशेष रूप से सीवीएसएस v2 बेस, टेम्पोरल और एनवायरनमेंटल मेट्रिक्स का उपयोग करता है।

यह भी देखें

• कॉमन वीकनेस एनयूमेरशन (सीडब्ल्यूई)
• कॉमन वल्नेरेबिलिटी और एक्सपोज़र्स (सीवीई)
• कॉमन अटैक पैटर्न एनयूमेरशन और क्लासिफिकेशन (सीएपीईसी)

संदर्भ

बाहरी संबंध

• The Forum of Incident Response and Security Teams (FIRST) सीवीएसएस site
• National Vulnerability Database (NVD) सीवीएसएस site
• Common Vulnerability Scoring System v2 Calculator