Các lỗ hổng và sự phơi nhiễm phổ biến (Common Vulnerabilities and Exposures - CVE) là các lỗ hổng bảo mật được tiết lộ và phơi bày công khai. Mỗi CVE được đánh giá điểm theo Hệ thống chấm điểm lỗ hổng phổ biến (Common Vulnerability Scoring System - CVSS). Hệ thống này là một tiêu chuẩn để đánh giá mức độ nghiêm trọng của các lỗ hổng bảo mật [2], cung cấp kỹ thuật để chấm điểm từng lỗ hổng trên nhiều tiêu chí đánh giá khác nhau.
Bài báo này cung cấp cho bạn đọc bức tranh tổng quan về các tiêu chí đánh giá, cách tính điểm và phân loại theo CVSS phiên bản 2.0.
Để đánh giá mức độ nghiêm trọng của một lỗ hổng bảo mật mới, các chuyên gia phân tích sẽ thực hiện đánh giá lỗ hổng đó với sáu tiêu chí khác nhau bao gồm: Vector truy cập; Độ phức tạp truy cập; Xác thực; Tính bí mật; Tính toàn vẹn; Tính sẵn sàng. Mỗi tiêu chí bao gồm phần mô tả và điểm số đánh giá. Ba thước đo đầu tiên đánh giá khả năng bị khai thác của lỗ hổng, trong khi ba thước đo sau đánh giá tác động của lỗ hổng.
Vector truy cập (Access Vector - AV): Chỉ số vectơ truy cập mô tả cách thức kẻ tấn công khai thác lỗ hổng bảo mật và được xác định theo các tiêu chí được trình bày trong Bảng 1.
BẢNG 1: CHỈ SỐ VECTƠ TRUY CẬP CỦA CVSS
Độ phức tạp truy cập (Access Complexity - AC): Chỉ số về độ phức tạp khi truy cập mô tả mức độ phức tạp trong quá trình khai thác lỗ hổng bảo mật và được xác định theo các tiêu chí được trình bày trong Bảng 2.
BẢNG 2: CHỈ SỐ ĐỘ PHỨC TẠP TRUY CẬP CỦA CVSS
Xác thực (Authentication - Au): Chỉ số xác thực mô tả các rào cản xác thực mà kẻ tấn công cần phải vượt qua để khai thác lỗ hổng bảo mật và được xác định theo các tiêu chí trong Bảng 3.
BẢNG 3: CHỈ SỐ XÁC THỰC CỦA CVSS
Tính bí mật (Confidentiality Impact - C): Chỉ số bí mật mô tả hình thức thông tin bị tiết lộ nếu kẻ tấn công khai thác thành công lỗ hổng. Chỉ số bí mật được xác định theo các tiêu chí trong Bảng 4.
BẢNG 4: CHỈ SỐ BẢO MẬT CỦA CVSS
Tính toàn vẹn (Integrity Impact - I): Chỉ số toàn vẹn mô tả hình thức thay đổi thông tin có thể xảy ra nếu kẻ tấn công khai thác thành công lỗ hổng. Chỉ số toàn vẹn được chỉ định theo các tiêu chí trong Bảng 5 dưới đây.
BẢNG 5: CHỈ SỐ TÍNH TOÀN VẸN CỦA CVSS
Tính sẵn sàng (Availability Impact - A): Số liệu về tính sẵn sàng mô tả loại gián đoạn có thể xảy ra nếu kẻ tấn công khai thác thành công lỗ hổng. Chỉ số tính sẵn sàng được chỉ định theo tiêu chí trong Bảng 6 dưới đây.
BẢNG 6: CHỈ SỐ TÍNH SẴN SÀNG CỦA CVSS
Vectơ CVSS sử dụng định dạng một dòng để thể hiện các chỉ số của các lỗ hổng bảo mật. Hình 1 minh họa một ví dụ về tham số vectơ CVSS trong báo cáo của ứng dụng quét lỗ hổng Nessus [3], CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
Hình 1: Báo cáo quét lỗ hổng Nessus
Trong ví dụ trên, Vectơ CVSS gồm bảy thành phần. Phần đầu tiên, CVSS2 #, thể hiện CVSS phiên bản 2. Sáu phần tiếp theo lần lượt tương ứng với một trong số sáu chỉ số CVSS. Vector truy cập: N (điểm: 1,000); Độ phức tạp của truy cập: M (điểm: 0,610); Xác thực: N (điểm: 0,704); Tính bí mật: P (điểm: 0,275); Tính toàn vẹn: N (điểm: 0,000); Tính sẵn sàng: N (điểm: 0,000).
Vectơ CVSS cung cấp thông tin chi tiết về bản chất của rủi ro do một lỗ hổng bảo mật gây ra, nhưng sự phức tạp của vectơ khiến nó khó được ưu tiên sử dụng trong thực tế. Để thuận lợi trong việc truyền tải mức độ rủi ro, các nhà phân tích có thể tính toán điểm cơ sở CVSS, là một chỉ số duy nhất đại diện cho rủi ro tổng thể do lỗ hổng bảo mật gây ra, chỉ số này được tính toán dựa trên 3 chỉ số khác: Khả năng bị khai thác, tác động, hàm tác động.
Tính toán điểm khả năng bị khai thác
Điểm khả năng khai thác của một lỗ hổng được tính bằng công thức sau:
Khả năng bị khai thác = 20 × Vector truy cập × Độ phức tạp truy cập × Xác thực
Với ví dụ về lỗ hổng trong Hình 1, khả năng bị khai thác sẽ là 8,589 (20 × 1,000 × 0,610 × 0,704).
Tính toán điểm tác động
Điểm tác động của một lỗ hổng bảo mật được tính bằng công thức sau:
Tác động = 10,41 × (1 − (1 – bí mật) × (1 – toàn vẹn) × (1 – sẵn sàng))
Với ví dụ về lỗ hổng trong hình 1, điểm tác động của lỗ hổng là 2,863 (10,41 × (1 − (1 – 0,275) × (1 − 0) × (1 − 0))).
Xác định giá trị hàm tác động
Nếu điểm tác động là 0, giá trị hàm tác động cũng bằng 0. Ngược lại, giá trị hàm tác động là 1,176. Đây cũng là giá trị của lỗ hổng trong ví dụ minh hoạ.
Tính toán điểm cơ sở
Với tất cả thông tin trên, điểm cơ sở CVSS được tính bằng công thức sau:
Điểm cơ sở = ((0,6 × tác động) + (0,4 × khả năng khai thác) – 1,5) × hàm tác động
Theo ví dụ ta có: Điểm cơ sở = ((0,6 × 2,863) + (0,4 × 8,589) – 1,5) × 1,176 = 4,297.
Thực tế, nhiều hệ thống rà quét lỗ hổng bảo mật tổng hợp kết quả CVSS để đưa ra các đánh giá về mức độ rủi ro. Ví dụ, Nessus sử dụng thang đánh giá mức độ rủi ro được hiển thị trong Bảng 7 để xếp loại các lỗ hổng cho các danh mục dựa trên điểm cơ sở CVSS.
BẢNG 7: PHÂN LOẠI RỦI RO VÀ ĐIỂM CVSS CỦA NESSUS
Tiếp tục với ví dụ về lỗ hổng SSH đã nêu ở trên với điểm cơ sở được tính toán là ≈ 4,3, vì vậy lỗ hồng được xếp vào danh mục rủi ro mức Trung bình.
CVSS 2.0 sử dụng các phương trình toán học chuẩn dựa trên các tham số để tính toán điểm cơ sở của một lỗ hổng bảo mật, các tham số này có thể được tinh chỉnh trong các phiên bản cao hơn của CVSS nhằm hoàn thiện hơn tiêu chuẩn đánh giá này. Tuy nhiên, mục đích xuyên suốt của CVSS chính là chỉ ra mức độ nghiêm trọng của các lỗ hổng bảo mật mới, từ đó các nhà phân tích mạng có thể nhanh chóng đưa ra các quyết định kịp thời trong việc xử lý các sự cố bảo mật và công tác ứng cứu sự cố an toàn thông tin.
Tài liệu tham khảo [1] RFC 4949, Internet Security Glossary, Version 2, https://datatracker.ietf.org/doc/html/rfc4949 [2] Karen Scarfone and Peter Mell, “An analysis of CVSS Version 2 Vulnerability Scoring”, National Institute of Standards and Technology (NIST), October 2009. [3] Mike Chapple, David Seidl, “CompTIA PenTest+ Study Guide”, 2015 |
Trần Nhật Long, Trung tâm CNTT&GSANM
17:00 | 08/07/2021
09:00 | 07/07/2021
20:00 | 29/01/2022
07:00 | 06/08/2021
20:00 | 30/06/2021
13:00 | 17/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
08:00 | 15/03/2024
Bảo mật công nghệ trí tuệ nhân tạo (AI) đặt ra nhiều thách thức và luôn thay đổi trong bối cảnh chuyển đổi số hiện nay. Khi công nghệ AI phát triển, rủi ro và bề mặt tấn công cùng các mối đe dọa mới ngày càng tăng cao. Điều này đặt ra yêu cầu đối với các nhà phát triển, tổ chức và doanh nghiệp phải có cách tiếp cận chủ động, thường xuyên đánh giá và cập nhật các biện pháp bảo mật.
09:00 | 08/03/2024
Từ lâu, botnet là một trong những mối đe dọa lớn nhất đối với an ninh mạng, nó đã gây ra nhiều thiệt hại cho các tổ chức và doanh nghiệp trên toàn thế giới. Bài báo sẽ giới thiệu tới độc giả một số kỹ thuật phát hiện botnet bằng Honeynet và tính hiệu quả của chúng, đồng thời đề xuất một số hướng phát triển trong tương lai để nâng cao khả năng phát hiện và ngăn chặn botnet bằng Honeynet.
17:00 | 11/08/2023
Wireless Mesh Network là công nghệ mạng truyền thông đầy hứa hẹn với khả năng kết nối mạnh mẽ và ổn định, được ứng dụng trong nhiều lĩnh vực khác nhau. Trong số 1 (071) 2023 của Tạp chí An toàn thông tin, nhóm tác giả đã giới thiệu về cơ sở lý thuyết của Wifi Mesh. Để ứng dụng thực tiễn nền tảng này, trong bài báo dưới đây nhóm tác giả đề xuất một giải pháp thiết kế hệ thống giám sát độ nghiêng của thiết bị trong không gian ba chiều X, Y, Z sử dụng module ESP32 WROOM có tính năng truyền nhận dữ liệu bằng Wifi Mesh.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Hiện nay, số lượng các cuộc tấn công mạng nhắm đến hệ điều hành Linux đang ngày càng gia tăng cả về số lượng lẫn mức độ tinh vi, đặc biệt là các sự cố liên quan đến việc lộ lọt mật khẩu. Thông thường, khi tạo tài khoản mới trên Linux, người dùng có thể sử dụng những mật khẩu tùy ý, kể cả những mật khẩu yếu, điều này có thể gây ra nhiều rủi ro bảo mật tiềm ẩn trong hệ thống mạng, các tác nhân đe dọa sẽ dễ dàng tấn công và xâm phạm tài khoản hơn. Do đó, cần phải thực thi các chính sách sử dụng mật khẩu đủ mạnh để bảo vệ tài khoản người dùng tránh bị tấn công. Trong bài viết này sẽ gửi đến độc giả hướng dẫn thiết lập cấu hình mật khẩu an toàn trên Linux với nền tảng Centos 7.
10:00 | 10/04/2024