HCL AppScan Enterprise 中文文檔 10.0.1 確定風險——確定問題嚴重性
CVSS 分數
CVSS 分數反映漏洞的總體安全性影響,它是一個組合分數,反映了三個不同類別中的度量:基本、時間和環境。
此分數基于可用于其中一個或多個度量的信息(例如,值)進行計算。每個度量中可用的信息越多,CVSS 分數的針對性就會越強。在 AppScan Enterprise 中,每個度量的值映射到某個問題(安全漏洞)或發現該問題的應用程序的屬性。在 AppScan Enterprise 中無法刪除或修改這些屬性,但是您可以修改其值。
表 1. CVSS 度量
| 度量組 | 度量名稱 | 問題或應用程序屬性 | 計算 CVSS 分數所需的定義 | 度量描述 |
|---|---|---|---|---|
| 基本 | 訪問向量 | 問題 | 是 | 漏洞是僅可從本地利用,也可從相鄰網絡利用,還是可從任何網絡連接利用(“可遠程利用”)。 |
| 訪問復雜度 | 問題 | 是 | 利用該漏洞時所涉及的困難。 | |
| 認證 | 問題 | 是 | 攻擊者要利用漏洞時必須向目標進行認證的次數。 | |
| 機密性影響 | 問題 | 是 | 成功利用該漏洞對機密性的影響。 | |
| 完整性影響 | 問題 | 是 | 成功利用該漏洞后損害系統完整性(由應用程序提供的信息的準確性)的程度。 | |
| 可用性影響 | 問題 | 是 | 成功利用該漏洞對信息資源可用性的影響。 | |
| 時間 | 可利用性 | 問題 | 否* | 利用技術或代碼漏洞的當前狀態。 |
| 修復級別 | 問題 | 否* | 對漏洞進行防護的可用修復級別。 | |
| 報告置信度 | 問題 | 否* | 漏洞的存在和技術詳細信息的置信度等級。 | |
| 環境在應用程序的總體安全性分級中也會考慮這些度量。 | 潛在間接損害 | 應用程序 | 否* | 如果應用程序有漏洞,可能會被損壞或被盜。 |
| 目標分布 | 應用程序 | 否* | 屬于潛在目標的環境中系統的比例。 | |
| 可用性需求 | 應用程序 | 否* | 信息可用性的相對重要性。 | |
| 機密性需求 | 應用程序 | 否* | 用戶信息機密性的相對重要性。 | |
| 完整性需求 | 應用程序 | 否* | 信息完整性或準確性的相對重要性。 |
注:
- ***** 雖然并未要求定義這些屬性,但是如果定義了更多度量來描述問題,CVSS 分數的針對性會更強。
- 未定義的任何可選屬性不會包含在 CVSS 分數計算中。
- 如果未定義任何必需屬性,則無法計算 CVSS 分數。在此情況下,問題嚴重性將分類為 Undetermined。
如何確定問題嚴重性
AppScan? Enterprise 通過使用嚴重性公式或通過使用“嚴重性值”問題屬性來確定問題嚴重性。
無法修改嚴重性公式。但是,可以更改嚴重性值屬性的預先確定的值,并且由于該值在嚴重性公式中使用,因此可以通過這種方式更改問題的嚴重性。
您還可以修改與嚴重性公式關聯的范圍值。這些范圍定義數字嚴重性范圍的文本顯示。用作范圍名稱的文本(如 Information 或 Critical)在應用為“應用程序”視圖中的嚴重性分組時,通常比表示嚴重性公式結果的數字值更易于理解。
提示: 如果更改問題概要文件模板中嚴重性公式的數字范圍,請修改同一模板中嚴重性值屬性的數字值,以便這些值同步。
嚴重性值屬性的其中一個預先確定的值為 Use CVSS。使用該值時,嚴重性公式使用 CVSS 分數來確定問題嚴重性。如果為嚴重性值屬性使用任何其他值(如“問題類型”),那么該值用作問題嚴重性,而不是使用 CVSS 分數計算。
嚴重問題嚴重性
有時您需要向開發和管理人員傳達某個問題比較嚴重的信息,以便此特定問題立即獲得關注并可能首先進行修訂。要將此問題與其他問題區分開,請將其嚴重性值設置為 Critical。“嚴重”是一種特殊的嚴重性值;其數字值超出嚴重性的缺省范圍,并且只能在分類期間逐個問題進行設置。
如何為內容掃描作業找到的問題設置 CVSS 和嚴重性
內容掃描作業找到的問題的 CVSS 分數會自動進行計算,因為所有必需信息都根據問題表示的漏洞類型來確定。
通過 AppScan Enterprise 中的報告更改問題的嚴重性時,問題的嚴重性值屬性將設置為相同值。當問題從 AppScan Enterprise 的先前版本進行升級時,此過程也適用。
如何為導入到 AppScan Enterprise 中的問題設置 CVSS 和嚴重性
**表 1. 如何為導入到 AppScan Enterprise 中的問題設置 CVSS 和嚴重性
導入的問題
**
| 問題來源 | 如何確定問題嚴重性 |
|---|---|
| 從 AppScan Source 的所有版本導入 | 將計入 CVSS 分數計算的信息在導入文件中不可用。AppScan Enterprise 根據為漏洞的問題類型指定的嚴重性來設置問題嚴重性。CVSS 信息根據漏洞類型進行計算。 |
| 從 AppScan Standard V9.0 和更低版本導入 | 將計入 CVSS 分數計算的信息在源于較舊產品版本的問題的導入文件中不可用。AppScan Enterprise 根據為漏洞的問題類型指定的嚴重性來設置問題嚴重性。 |
| 從 AppScan Standard V9.0.1 和更高版本導入 | 將計入 CVSS 分數計算的信息會在導入期間引入 AppScan Enterprise 中,并且嚴重性值派生自得出的 CVSS 分數。 |
| 從 CSV 文件導入問題 | “掃描程序”概要文件允許在 CSV 文件中的屬性列與 AppScan Enterprise 使用的問題屬性之間進行映射。CVSS 分數計算和得出的嚴重性取決于 CSV 文件中可用的信息及其如何映射到表示 CVSS 度量的屬性。如果所需 CVSS 屬性可用,那么 AppScan Enterprise 可使用 CVSS 公式來計算嚴重性。如果 CVSS 分數計算不可用,那么 AppScan Enterprise 將基于“嚴重性”值來設置問題嚴重性。如果該嚴重性值不可用,那么它將使用在漏洞的“問題類型”上設置缺省嚴重性。 |
| 從 AppScan Standard v9.0.3 報告 XML 文件導入問題 | 可將另存為 XML 文件的 AppScan Standard 報告數據導入到 AppScan Enterprise v9.0.3 中的“監視器”視圖。將計入 CVSS 分數計算的信息在導入文件中不可用。AppScan Enterprise 根據在導入文件中指定的嚴重性來設置問題嚴重性值。CVSS 信息根據漏洞類型進行計算。 |
| 從 XML 掃描程序導入問題 | AppScan Enterprise 根據 XML 中的“嚴重性”值來設置問題嚴重性。 |
如何保留從 AppScan Source 和 AppScan Standard 導入的手動設置的 CVSS 和嚴重性
如果您在 AppScan Source 或 AppScan Enterprise 中管理了問題,并且要在將這些問題導入到 AppScan Enterprise 中時保留這些設置,那么可以請求管理員選中管理 > 常規設置 > Enterprise Console 設置頁面上的使用來自導入文件的設置復選框。啟用此設置時,下表中描述的處理規則適用。
表 2. 如何保留從 AppScan Source 和 AppScan Standard 導入的手動設置的 CVSS 和嚴重性
| 問題來源 | 如何確定問題嚴重性 |
|---|---|
| 從 AppScan Source 的所有版本導入 | 將計入 CVSS 分數計算的信息在問題的導入文件中不可用。問題嚴重性和嚴重性值屬性設置為導入文件中指定的嚴重性。 |
| 從 AppScan Standard V9.0 和更低版本導入 | 將計入 CVSS 分數計算的信息在問題的導入文件中不可用。問題嚴重性和嚴重性值屬性設置為導入文件中指定的嚴重性。 |
| 從 AppScan Standard V9.0.1 和更高版本導入 | 將計入 CVSS 分數計算的信息和手動設置的嚴重性在導入文件中可用,并且兩者均在 AppScan Enterprise 中進行設置,如該文件中所指定。 |
通過修改問題的 CVSS 分數更改其嚴重性
更改問題嚴重性是逐個問題來執行的,以便您可分析每個漏洞與業務風險的關聯性。在問題分類期間,可以通過使用嚴重性值手動覆蓋預先計算的 CVSS 分數來更改問題的嚴重性,從而能夠將該問題的嚴重性設置為優先于其他問題。修改嚴重性有助于向開發和管理人員傳達某個問題比較嚴重的信息,以便先修訂更嚴重的漏洞。
關于此任務
以下示例說明如何覆蓋問題的嚴重性。
:Working with CVSS in AppScan Enterprise:the Security Champion’s perspective
過程
在應用程序中,單擊問題的問題標識。
單擊關于該問題對話框中的編輯屬性。
如果基本度量(訪問向量、訪問復雜性、認證、機密性影響、完整性影響、可用性影響)顯示為未知(空白),請為其中每一項選擇值。
在此截屏中,CVSS 基本度量未知,沒有任何 CVSS 分數,并且問題嚴重性為High。
將嚴重性值更改為Use CVSS。
注: 如果僅更改“嚴重性值”,但不更改“基本度量”,那么該問題在問題列表中分類為Undetermined,這意味著嚴重性公式無法準確計算嚴重性,因為它在其計算中使用的信息缺失。
在此截屏中,我們啟用了“嚴重性值”列的顯示,以便可以看到嚴重性被手動覆蓋。
結果
以下是我們在此下一個截屏中已分類突出顯示的問題的方式:
- 問題 5:我們修改了 CVSS 基本度量,但是未將嚴重性值從其原始High分類更改為其他值。計算的 CVSS 分數現在為 5.3,并且High嚴重性分類保持不變。
- 問題 7:我們修改了 CVSS 基本度量,并將嚴重性值更改為Use CVSS。計算的 CVSS 分數為 6.4,并且現在嚴重性分類為Medium。
- 問題 3:我們未修改 CVSS 基本度量,但是已將嚴重性值更改為Use CVSS。由于基本度量未知,因此沒有足夠信息來計算 CVSS 分數,所以嚴重性分類為Undetermined。
推薦文章: