Các lỗ hổng và sự phơi nhiễm phổ biến (Common Vulnerabilities and Exposures - CVE) là các lỗ hổng bảo mật được tiết lộ và phơi bày công khai. Mỗi CVE được đánh giá điểm theo Hệ thống chấm điểm lỗ hổng phổ biến (Common Vulnerability Scoring System - CVSS). Hệ thống này là một tiêu chuẩn để đánh giá mức độ nghiêm trọng của các lỗ hổng bảo mật [2], cung cấp kỹ thuật để chấm điểm từng lỗ hổng trên nhiều tiêu chí đánh giá khác nhau.
Bài báo này cung cấp cho bạn đọc bức tranh tổng quan về các tiêu chí đánh giá, cách tính điểm và phân loại theo CVSS phiên bản 2.0.
Để đánh giá mức độ nghiêm trọng của một lỗ hổng bảo mật mới, các chuyên gia phân tích sẽ thực hiện đánh giá lỗ hổng đó với sáu tiêu chí khác nhau bao gồm: Vector truy cập; Độ phức tạp truy cập; Xác thực; Tính bí mật; Tính toàn vẹn; Tính sẵn sàng. Mỗi tiêu chí bao gồm phần mô tả và điểm số đánh giá. Ba thước đo đầu tiên đánh giá khả năng bị khai thác của lỗ hổng, trong khi ba thước đo sau đánh giá tác động của lỗ hổng.
Vector truy cập (Access Vector - AV): Chỉ số vectơ truy cập mô tả cách thức kẻ tấn công khai thác lỗ hổng bảo mật và được xác định theo các tiêu chí được trình bày trong Bảng 1.
BẢNG 1: CHỈ SỐ VECTƠ TRUY CẬP CỦA CVSS
.png)
Độ phức tạp truy cập (Access Complexity - AC): Chỉ số về độ phức tạp khi truy cập mô tả mức độ phức tạp trong quá trình khai thác lỗ hổng bảo mật và được xác định theo các tiêu chí được trình bày trong Bảng 2.
BẢNG 2: CHỈ SỐ ĐỘ PHỨC TẠP TRUY CẬP CỦA CVSS
Xác thực (Authentication - Au): Chỉ số xác thực mô tả các rào cản xác thực mà kẻ tấn công cần phải vượt qua để khai thác lỗ hổng bảo mật và được xác định theo các tiêu chí trong Bảng 3.
BẢNG 3: CHỈ SỐ XÁC THỰC CỦA CVSS
Tính bí mật (Confidentiality Impact - C): Chỉ số bí mật mô tả hình thức thông tin bị tiết lộ nếu kẻ tấn công khai thác thành công lỗ hổng. Chỉ số bí mật được xác định theo các tiêu chí trong Bảng 4.
BẢNG 4: CHỈ SỐ BẢO MẬT CỦA CVSS
Tính toàn vẹn (Integrity Impact - I): Chỉ số toàn vẹn mô tả hình thức thay đổi thông tin có thể xảy ra nếu kẻ tấn công khai thác thành công lỗ hổng. Chỉ số toàn vẹn được chỉ định theo các tiêu chí trong Bảng 5 dưới đây.
BẢNG 5: CHỈ SỐ TÍNH TOÀN VẸN CỦA CVSS
Tính sẵn sàng (Availability Impact - A): Số liệu về tính sẵn sàng mô tả loại gián đoạn có thể xảy ra nếu kẻ tấn công khai thác thành công lỗ hổng. Chỉ số tính sẵn sàng được chỉ định theo tiêu chí trong Bảng 6 dưới đây.
BẢNG 6: CHỈ SỐ TÍNH SẴN SÀNG CỦA CVSS
Vectơ CVSS sử dụng định dạng một dòng để thể hiện các chỉ số của các lỗ hổng bảo mật. Hình 1 minh họa một ví dụ về tham số vectơ CVSS trong báo cáo của ứng dụng quét lỗ hổng Nessus [3], CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
.png)
Hình 1: Báo cáo quét lỗ hổng Nessus
Trong ví dụ trên, Vectơ CVSS gồm bảy thành phần. Phần đầu tiên, CVSS2 #, thể hiện CVSS phiên bản 2. Sáu phần tiếp theo lần lượt tương ứng với một trong số sáu chỉ số CVSS. Vector truy cập: N (điểm: 1,000); Độ phức tạp của truy cập: M (điểm: 0,610); Xác thực: N (điểm: 0,704); Tính bí mật: P (điểm: 0,275); Tính toàn vẹn: N (điểm: 0,000); Tính sẵn sàng: N (điểm: 0,000).
Vectơ CVSS cung cấp thông tin chi tiết về bản chất của rủi ro do một lỗ hổng bảo mật gây ra, nhưng sự phức tạp của vectơ khiến nó khó được ưu tiên sử dụng trong thực tế. Để thuận lợi trong việc truyền tải mức độ rủi ro, các nhà phân tích có thể tính toán điểm cơ sở CVSS, là một chỉ số duy nhất đại diện cho rủi ro tổng thể do lỗ hổng bảo mật gây ra, chỉ số này được tính toán dựa trên 3 chỉ số khác: Khả năng bị khai thác, tác động, hàm tác động.
Tính toán điểm khả năng bị khai thác
Điểm khả năng khai thác của một lỗ hổng được tính bằng công thức sau:
Khả năng bị khai thác = 20 × Vector truy cập × Độ phức tạp truy cập × Xác thực
Với ví dụ về lỗ hổng trong Hình 1, khả năng bị khai thác sẽ là 8,589 (20 × 1,000 × 0,610 × 0,704).
Tính toán điểm tác động
Điểm tác động của một lỗ hổng bảo mật được tính bằng công thức sau:
Tác động = 10,41 × (1 − (1 – bí mật) × (1 – toàn vẹn) × (1 – sẵn sàng))
Với ví dụ về lỗ hổng trong hình 1, điểm tác động của lỗ hổng là 2,863 (10,41 × (1 − (1 – 0,275) × (1 − 0) × (1 − 0))).
Xác định giá trị hàm tác động
Nếu điểm tác động là 0, giá trị hàm tác động cũng bằng 0. Ngược lại, giá trị hàm tác động là 1,176. Đây cũng là giá trị của lỗ hổng trong ví dụ minh hoạ.
Tính toán điểm cơ sở
Với tất cả thông tin trên, điểm cơ sở CVSS được tính bằng công thức sau:
Điểm cơ sở = ((0,6 × tác động) + (0,4 × khả năng khai thác) – 1,5) × hàm tác động
Theo ví dụ ta có: Điểm cơ sở = ((0,6 × 2,863) + (0,4 × 8,589) – 1,5) × 1,176 = 4,297.
Thực tế, nhiều hệ thống rà quét lỗ hổng bảo mật tổng hợp kết quả CVSS để đưa ra các đánh giá về mức độ rủi ro. Ví dụ, Nessus sử dụng thang đánh giá mức độ rủi ro được hiển thị trong Bảng 7 để xếp loại các lỗ hổng cho các danh mục dựa trên điểm cơ sở CVSS.
BẢNG 7: PHÂN LOẠI RỦI RO VÀ ĐIỂM CVSS CỦA NESSUS
Tiếp tục với ví dụ về lỗ hổng SSH đã nêu ở trên với điểm cơ sở được tính toán là ≈ 4,3, vì vậy lỗ hồng được xếp vào danh mục rủi ro mức Trung bình.
CVSS 2.0 sử dụng các phương trình toán học chuẩn dựa trên các tham số để tính toán điểm cơ sở của một lỗ hổng bảo mật, các tham số này có thể được tinh chỉnh trong các phiên bản cao hơn của CVSS nhằm hoàn thiện hơn tiêu chuẩn đánh giá này. Tuy nhiên, mục đích xuyên suốt của CVSS chính là chỉ ra mức độ nghiêm trọng của các lỗ hổng bảo mật mới, từ đó các nhà phân tích mạng có thể nhanh chóng đưa ra các quyết định kịp thời trong việc xử lý các sự cố bảo mật và công tác ứng cứu sự cố an toàn thông tin.
|
Tài liệu tham khảo [1] RFC 4949, Internet Security Glossary, Version 2, https://datatracker.ietf.org/doc/html/rfc4949 [2] Karen Scarfone and Peter Mell, “An analysis of CVSS Version 2 Vulnerability Scoring”, National Institute of Standards and Technology (NIST), October 2009. [3] Mike Chapple, David Seidl, “CompTIA PenTest+ Study Guide”, 2015 |
Trần Nhật Long, Trung tâm CNTT&GSANM
17:00 | 08/07/2021
09:00 | 07/07/2021
20:00 | 29/01/2022
07:00 | 06/08/2021
20:00 | 30/06/2021
07:00 | 07/02/2025
Tấn công từ chối dịch vụ (Distributed denial of service - DDoS) đã và đang trở nên phổ biến và lan rộng trên mạng Internet. Khi DDoS nhắm tới các web server thông qua mạng botnet, kẻ tấn công thường huy động một số lượng lớn các máy tính bị nhiễm mã độc, PC-Bot gửi các yêu cầu tới máy chủ ứng dụng web làm cho tài nguyên (CPU, băng thông, bộ nhớ…) bị cạn kiệt dẫn tới dịch vụ web bị ngừng hoạt động. Để giảm thiểu thiệt hại và ngăn chặn hình thức tấn công này, cần xây dựng một ứng dụng có thể hỗ trợ giám sát một số đặc điểm bất thường trên lưu lượng mạng và phân biệt được người sử dụng hay bot đang truy cập vào web server, làm tiền đề để ngăn chặn kịp thời các cuộc tấn công DDoS, không gây tắc nghẽn băng thông hoặc cạn kiệt tài nguyên, tạo điều kiện để người sử dụng bình thường có thể truy cập website.
09:00 | 15/11/2024
Ngày nay, những vụ lộ, lọt thông tin cá nhân, tài chính gây chấn động toàn cầu, cho đến những cuộc bầu cử bị can thiệp, bí mật quốc gia bị rò rỉ đều nhanh chóng trở thành chủ đề thu hút trên các mặt báo lớn như The New Yorker, The Wall Street Journal…. tất cả đều cho thấy an ninh mạng đang thực sự trở thành tâm điểm chú ý của toàn xã hội.
13:00 | 22/10/2024
Cách mạng công nghiệp 4.0 đang trở thành hiện thực, một phần không nhỏ nhờ công nghệ Internet vạn vật công nghiệp (IIoT) và các mạng 5G dùng riêng. Đến năm 2029, thị trường cách mạng công nghiệp 4.0 dự kiến sẽ đạt giá trị 377,30 tỷ USD. Bà Marie Hattar, Phó Chủ tịch cấp cao Keysight Technologies (Hoa Kỳ), đã chia sẻ tầm quan trọng của 5G trong hành trình cách mạng công nghiệp 4.0.
16:00 | 13/09/2024
Cùng với sự phát triển của công nghệ, tội phạm mạng đang gia tăng thủ đoạn sử dụng video, hình ảnh ghép mặt người quen cùng với giọng nói đã được ghi âm sẵn (deepfake) với mục đích tạo niềm tin, khiến nạn nhân tin tưởng và chuyển tiền cho thủ phạm nhằm lừa đảo chiếm đoạt tài sản. Bài báo sau đây sẽ thông tin đến độc giả về cách nhận biết và đưa ra những biện pháp phòng tránh và giảm thiểu trước các cuộc tấn công lừa đảo sử dụng công nghệ Deepfake.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Báo cáo của Lineaje AI Labs đã đặt ra một câu hỏi quan trọng về tính minh bạch trong chuỗi cung ứng phần mềm quan trọng trên toàn cầu, đặc biệt trong bối cảnh phần mềm nguồn mở đang ngày càng được ứng dụng rộng rãi dẫn đến những nguy cơ tiềm ẩn về bảo mật, nhất là khi các đóng góp vào các dự án mã nguồn mở từ những nguồn không xác định.
08:00 | 27/02/2025
