سیستم امتیازدهی آسیب‌پذیری‌های رایج یا CVSS، یک استاندارد باز و عمومی است که برای ارزیابی و امتیازدهی به آسیب‌پذیری‌های امنیتی در سیستم‌های اطلاعاتی مورد استفاده قرار می‌گیرد. این سیستم به سازمان‌ها و متخصصان امنیت کمک می‌کند تا سطح خطرات و تهدیدات را به درستی بسنجند و تصمیمات مناسبی برای مقابله با آن‌ها اتخاذ کنند.

سیستم امتیازدهی آسیب‌پذیری‌های رایج (CVSS) اولین بار در سال 2005 توسط فروم حوادث و آسیب‌پذیری‌های امنیتی (FIRST - Forum of Incident Response and Security Teams) ایجاد شد. هدف از ایجاد CVSS، توسعه یک استاندارد جهانی برای ارزیابی و امتیازدهی به آسیب‌پذیری‌های امنیتی بود. این استاندارد به متخصصان امنیتی و سازمان‌ها کمک می‌کند تا شدت و اهمیت آسیب‌پذیری‌های کشف شده را به درستی ارزیابی کرده و بر اساس آن‌ها تصمیم‌گیری کنند.نسخه‌های مختلفی از CVSS تا به امروز منتشر شده است، که آخرین نسخه آن، CVSSv3.1، در سال 2019 منتشر شد. هر نسخه از CVSS به منظور بهبود دقت و کارایی این سیستم و برطرف کردن مشکلات نسخه‌های قبلی توسعه داده شده است.

ساختار CVSS و اجزای آن

امتیاز پایه (Base Score)

امتیاز پایه نشان‌دهنده شدت اصلی آسیب‌پذیری است و بدون در نظر گرفتن شرایط خاص محیطی و اصلاحات احتمالی محاسبه می‌شود. این امتیاز خود از چندین مولفه اصلی تشکیل شده است:

• بردار حمله (Attack Vector - AV): نشان می‌دهد که چگونه یک حمله می‌تواند آغاز شود. این مولفه شامل گزینه‌های شبکه، محلی، فیزیکی و غیره است.
• پیچیدگی حمله (Attack Complexity - AC): میزان دشواری اجرای حمله را نشان می‌دهد.
• امتیاز تاثیر (Impact): تاثیرات بالقوه یک حمله موفقیت‌آمیز را بر سیستم‌های محرمانه، یکپارچگی و در دسترس بودن داده‌ها و سرویس‌ها ارزیابی می‌کند.

امتیاز محیطی (Environmental Score)

این امتیاز نشان می‌دهد که چگونه یک آسیب‌پذیری می‌تواند در یک محیط خاص تاثیر بگذارد. در این بخش، عواملی مانند اهمیت اطلاعات، وضعیت اصلاحات امنیتی، و سطح آسیب‌پذیری در نظر گرفته می‌شود.

چگونگی محاسبه امتیاز CVSS

برای محاسبه امتیاز CVSS، ابتدا امتیاز پایه محاسبه می‌شود. این امتیاز از ترکیب مولفه‌های مختلفی مانند بردار حمله، پیچیدگی حمله، و تاثیرات بالقوه به دست می‌آید. سپس امتیاز محیطی در نظر گرفته می‌شود که تاثیرات خاص هر محیط بر آسیب‌پذیری را مشخص می‌کند.

اهمیت CVSS در امنیت سایبری

ارزیابی سریع تهدیدات

یکی از بزرگترین مزایای CVSS، امکان ارزیابی سریع تهدیدات است. با استفاده از این سیستم، می‌توان تهدیدات جدید را به سرعت ارزیابی کرده و اولویت‌های امنیتی را بر اساس امتیاز CVSS تنظیم کرد.

تصمیم‌گیری هوشمندانه‌تر

CVSS کمک می‌کند تا سازمان‌ها تصمیمات هوشمندانه‌تری در زمینه مدیریت خطرات اتخاذ کنند. با توجه به امتیاز CVSS، می‌توان تصمیم گرفت که کدام آسیب‌پذیری‌ها باید در اولویت قرار گیرند و منابع محدود چگونه تخصیص یابند.

محدودیت‌های CVSS

عدم دقت در شرایط خاص

یکی از انتقادات به CVSS این است که در برخی شرایط خاص ممکن است دقت کافی نداشته باشد. برای مثال، امتیاز محیطی ممکن است در همه محیط‌ها به درستی محاسبه نشود و منجر به ارزیابی نادرست سطح خطرات شود.

عدم انعطاف‌پذیری

CVSS یک استاندارد ثابت است و ممکن است در مواجهه با تهدیدات جدید و پیچیده، انعطاف‌پذیری لازم را نداشته باشد. این مسئله ممکن است باعث شود که نتایج CVSS همیشه با واقعیت منطبق نباشد.

کاربردهای عملی CVSS

مدیریت آسیب‌پذیری‌ها

یکی از اصلی‌ترین کاربردهای CVSS در مدیریت آسیب‌پذیری‌هاست. با استفاده از این سیستم، متخصصان امنیت می‌توانند به سرعت آسیب‌پذیری‌های موجود در سیستم‌ها را شناسایی کرده و بر اساس امتیاز CVSS، اقدام به رفع یا کاهش خطرات نمایند.

تطبیق با استانداردها

سازمان‌ها می‌توانند از CVSS برای تطبیق با استانداردهای بین‌المللی استفاده کنند. بسیاری از استانداردهای امنیتی مانند ISO 27001 از CVSS به عنوان یک ابزار ارزیابی آسیب‌پذیری‌ها استفاده می‌کنند.

چگونه شدت آسیب‌پذیری‌های سایبری را با این سیستم توسط ابزار های آنلاین اندازه‌گیری کنیم؟

چندین ابزار آنلاین وجود دارد که به شما کمک می‌کنند امتیاز CVSS را به‌صورت خودکار و بر اساس داده‌های ورودی محاسبه کنید. این ابزارها معمولاً دارای رابط کاربری ساده‌ای هستند که به کاربران اجازه می‌دهند مولفه‌های مختلف مرتبط با آسیب‌پذیری را وارد کرده و امتیاز نهایی را دریافت کنند. در ادامه به برخی از این ابزارهای آنلاین اشاره می‌شود:

NVD CVSS Calculator:

این ابزار توسط پایگاه داده ملی آسیب‌پذیری‌ها (National Vulnerability Database - NVD) ارائه شده است و به شما امکان می‌دهد که امتیاز CVSS را بر اساس نسخه‌های مختلف این سیستم (مانند CVSSv2 و CVSSv3.1) محاسبه کنید.

FIRST CVSS Calculator:

این ابزار توسط گروه FIRST، که توسعه‌دهنده اصلی CVSS است، ارائه شده و به کاربران اجازه می‌دهد امتیازهای CVSSv3.0 و CVSSv3.1 را به‌راحتی محاسبه کنند.

Rapid7 CVSS Calculator:

این ابزار توسط شرکت امنیتی Rapid7 ارائه شده و به کاربران امکان می‌دهد امتیازهای CVSSv3.0 و CVSSv3.1 را محاسبه کرده و نتایج را با دیگران به اشتراک بگذارند.

Qualys CVSS Calculator:

این ابزار توسط Qualys، یکی از شرکت‌های پیشرو در زمینه امنیت سایبری، ارائه شده و به کاربران اجازه می‌دهد که امتیاز CVSS را به‌صورت دقیق و سریع محاسبه کنند.

این ابزارها به شما کمک می‌کنند تا بدون نیاز به دانش عمیق ریاضی، امتیاز CVSS آسیب‌پذیری‌های سیستم خود را محاسبه کرده و از نتایج آن برای ارزیابی و مدیریت بهتر امنیت سایبری استفاده کنید.