Phương pháp chấm điểm lỗ hổng bảo mật CVSS

2.3.2.1. Giới thiệu

Tiêu chuẩn CVSS (Common Vulnerability Scoring System) [12] là phương pháp chấm điểm cho các lỗ hổng và phơi nhiễm chung CVE (Common Vulnerabilities and Exposures). Kết quả đầu ra của là điểm số cho thấy mức độ nghiêm trọng của lỗ hổng.

a) Số liệu

Bao gồm 3 nhóm số liệu: - Số liệu cơ sở.

- Số liệu tạm thời. - Số liệu môi trường.

Hình 2.4- Các nhóm số liệu của CVSS

Các số liệu Cơ sở có điểm số từ 0 đến 10, có thể được điều chỉnh bằng cách chấm điểm các số liệu Tạm thời và Môi trường.

- Nhóm số liệu Cơ sở (Base metric group): bao gồm hai bộ số liệu: Số liệu về Khả năng khai thác và số liệu Tác động.

Các số liệu Khả năng khai thác phản ánh mức độ dễ dàng và phương tiện kỹ thuật mà lỗ hổng có thể bị khai thác. Danh mục số liệu gồm: Vector tấn công, Độ phức tạp tấn công, Yêu cầu đặc quyền, Tương tác người dùng, Phạm vi.

Các số liệu Tác động phản ánh của việc lỗ hổng bị khai thác và thể hiện việc chịu tác động. Trong bộ số liệu này có danh mục số liệu phụ gồm: Tác động bảo mật, Tác động toàn vẹn, Tác động khả dụng.

Các số liệu Cơ sở có điểm số từ 0 đến 10, có thể được điều chỉnh sau bằng cách chấm điểm các số liệu Tạm thời và Môi trường.

- Nhóm số liệu Tạm thời (Temporal metric group): phản ánh lỗ hổng có thể thay đổi theo thời gian nhưng không phải trên các môi trường người dùng.

Trong bộ số liệu này có danh mục số liệu phụ gồm: Khả năng khai thác mã đáo hạn, mức độ khắc phục, bảo mật báo cáo.

- Nhóm số liệu Môi trường (Environmental metric group): đại diện cho các đặc điểm của lỗ hổng có liên quan và duy nhất đối với môi trường người dùng cụ thể.

Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin

Trong bộ số liệu này có danh mục số liệu phụ gồm: Số liệu cơ sở sửa đổi, Yêu cầu bảo mật, Yêu cầu toàn vẹn, Yêu cầu tính khả dụng.

b) Chấm điểm

Khi các số liệu Cơ sở được chỉ định, phương trình cơ sở sẽ tính toán trong khoảng từ 0 đến 10:

Hình 2.5- Các số liệu và phương trình CVSS

Phương trình Cơ sở có nguồn gốc từ 2 phương trình phụ: Phương trình điểm Khả năng khai thác và phương trình điểm Tác động. Phương trình điểm Khả năng khai thác được lấy từ các số liệu Khả năng khai thác cơ sở (Base Exploitability metrics), trong khi phương trình điểm Tác động được lấy từ các số liệu Tác động cơ sở (Base Impact metrics).

Điểm cơ sở (Base Score) được tinh chỉnh bằng cách chấm điểm các số liệu Tạm thời và môi trường để phản ánh tính chính xác mức độ nghiêm trọng do lỗ hổng tại một thời điểm cụ thể. Chấm điểm các số liệu Tạm thời và Môi trường là không bắt buộc.

Kết quả đầu ra sau khi chấm điểm CVSS là chuổi vector, thể hiện dưới dạng văn bản giá trị số liệu để đánh giá mức độ dễ bị tổng thương. Chuỗi này được định dạng cụ thể chứa giá trị gán cho từng số liệu.

2.3.2.2. Đánh giá mức độ nghiêm trọng

Có thể phân loại các điểm đánh giá tương ứng với mức độ xếp hạng định tính như bảng dưới đây:

Xếp hạng Điểm CVSS

None 0.0

Low 0.1 - 3.9 Medium 4.0 - 6.9

High 7.0 - 8.9 Critical 9.0 - 10.0

Bảng 2.5 - Thang đánh giá mức độ nghiêm trọng

Ví dụ: Điểm Cơ sở CVSS 4.0 tương ứng với mức độ nghiêm trọng Trung bình. Việc sử dụng các xếp hạng mức độ nghiêm trọng định tính này là tùy chọn và không có yêu cầu bao gồm chúng khi đánh giá điểm CVSS. Trợ giúp cho các tổ chức, đơn vị có thể đánh giá đúng và ưu tiên các xây dựng quy trình quản lý lỗ hổng bảo mật hệ thống.

2.3.2.3. Chuỗi Vector

Chuỗi vector là một dạng văn bản của một tập hợp các số liệu CVSS. Được sử dụng nhằm thể hiện các thông tin số liệu CVSS một cách dễ hiểu, súc tích.

Chuỗi vectơ CVSS v3.1 bắt đầu bằng nhãn “CVSS:” và “3.1” thể hiện phiên bản hiện tại. Thông tin được thể hiện dưới dạng một tập hợp các số liệu. Mỗi số liệu bảo gồm tên số liệu ở dạng viết tắt, dấu hai chấm, trực tiếp: giá trị và số liệu dạng viết tắt.

Số liệu Cơ sở bao gồm một chuỗi vector. Số liệu Tạm thời và số liệu Môi trường là tùy chọn và các số liệu bị bỏ qua được coi là Không xác định (X). Các chương trình đọc chuỗi vectơ CVSS phải chấp nhận các số liệu theo bất kỳ thứ tự nào. Một chuỗi vectơ không được bao gồm cùng một số liệu nhiều lần.

Nhóm số liệu Tên số liệu

(và dạng viết tắt) Những giá trị khả thi Bắt buộc?

Cơ sở Attack Vector (AV) [N,A,L,P] Yes

Độ phức tạp tấn công (AC) [L,H] Yes

Đặc quyền bắt buộc (PR) [N,L,H] Yes

Tương tác người dùng (UI) [N,R] Yes

Phạm vi (S) [U,C] Yes

Bảo mật (C) [H,L,N] Yes

Toàn vẹn (I) [H,L,N] Yes

Sẵn có (A) [H,L,N] Yes

Tạm thời Exploit Code Maturity (E) [X,H,F,P,U] No

Mức độ khắc phục (RL) [X,U,W,T,O] No

Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin

Môi trường Confidentiality

Requirement (CR)

[X,H,M,L] No

Yêu cầu toàn vẹn (IR) [X,H,M,L] No

Yêu cầu về tính khả dụng (AR)

[X,H,M,L] No

Vector tấn công sửa đổi (MAV)

[X,N,A,L,P] No

Độ phức tạp tấn công đã sửa đổi (MAC)

[X,L,H] No

Yêu cầu đặc quyền sửa đổi (MPR)

[X,N,L,H] No

Tương tác người dùng đã sửa đổi (MUI)

[X,N,R] No

Phạm vi sửa đổi (MS) [X,U,C] No

Tính bảo mật sửa đổi (MC) [X,N,L,H] No

Tính toàn vẹn đã sửa đổi (MI) [X,N,L,H] No

Tính khả thi sửa đổi (MA) [X,N,L,H] No

Bảng 2.6 - Các vectơ Cơ sở, Tạm thời và Môi trường

Ví dụ: Lỗ hổng với các giá trị số liệu Vector Attack: Local, Độ phức tạp tấn công: Cao, Đặc quyền bắt buộc: Thấp, Tương tác người dùng: Không, Phạm vi: Thay đổi, Bảo mật: Cao, Tính toàn vẹn: Cao, Tính khả dụng: Không có Các số liệu Tạm thời hoặc Môi trường sẽ được thể hiện dưới dạn vector như sau:

CVSS: 3.1 / AV: L / AC: H / PR: L / UI: N / S: C / C: H / I: H / A: N

2.3.2.4. Thuật toán tính CVSS v3.1

Các hàm trợ giúp cho thuật toán CVSS được định nghĩa như sau: • Tối thiểu trả về nhỏ hơn trong hai đối số của nó.

• Roundup trả về số nhỏ nhất, chỉ định 1 chữ số thập phân, bằng hoặc cao hơn giá trị đầu vào.

Ví dụ: Roundup (3.02) trả về 3.1; và Roundup (3,00) trả về 3.0.

a) Thuật toán tính số liệu Cơ sở

Thuật toán tính Điểm cơ sở phụ thuộc vào các công thức tính Điểm tác động phụ (ISS), Tác động và Khả năng khai thác, được thể hiện như sau:

IF Scope = Unchanged THENImpact = 6.42 × ISS.

IF Scope = Changed THENImpact = 7.52 × (ISS - 0.029) - 3.25 × (ISS - 0.02)15.

Exploitability = 8.22 × AttackVector × AttackComplexity × PrivilegesRequired × UserInteraction

IF Impact <= 0 THENBaseScore = 0 ELSE

{IF Scope = Unchanged THEN BaseScore = Roundup (Minimum [(Impact + Exploitability), 10])

IF Scope = Changed THEN BaseScore = Roundup (Minimum [1.08 × (Impact + Exploitability), 10])}

b) Công thức tính số liệu Tạm thời (Temporal Metrics Equations):

TemporalScore = Roundup (BaseScore × ExploitCodeMaturity × RemediationLevel × ReportConfidence)

c) Thuật toán tính số liệu Môi trường

Thuật toán tính Điểm môi trường phụ thuộc vào các công thức phụ cho Điểm phụ tác động được sửa đổi (MISS), ModifiedImpact và ModifiedExploitability:

MISS = Minimum (1 - [(1 - ConfidentialityRequirement × ModifiedConfidentiality) × (1 - IntegrityRequirement × ModifiedIntegrity) × (1 -

AvailabilityRequirement × ModifiedAvailability)], 0.915)

IF ModifiedScope = Unchanged THENModifiedImpact = 6.42 × MISS

IF ModifiedScope = Changed THENModifiedImpact = 7.52 × (MISS - 0.029) - 3.25 × (MISS × 0.9731 - 0.02)13

ModifiedExploitability = 8.22 × ModifiedAttackVector × ModifiedAttackComplexity × ModifiedPrivilegesRequired × ModifiedUserInteraction.

IF ModifiedImpact <= 0 THENEnvironmentalScore = 0 ELSE

{IF ModifiedScope = Unchanged THENEnvironmentalScore = Roundup (Roundup [Minimum ([ModifiedImpact + ModifiedExploitability], 10)] × ExploitCodeMaturity × RemediationLevel × ReportConfidence)

IF ModifiedScope = Changed THENEnvironmentalScore = Roundup (Roundup [Minimum (1.08 × [ModifiedImpact +

ModifiedExploitability], 10)] × ExploitCodeMaturity × RemediationLevel × ReportConfidence)}

Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin

Mỗi giá trị số liệu có một hằng số liên quan được sử dụng trong các công thức, được định nghĩa như sau:

Số liệu Giá trị Giá trị số

Attack Vector / Modified Attack Vector

Network 0.85

Adjacent 0.62

Local 0.55

Physical 0.2

Attack Complexity / Modified Attack Complexity

Low 0.77

High 0.44

Privileges Required / Modified Privileges Required

None 0.85

Low 0.62 (or 0.68 if Scope / Modified Scope =

Changed) High 0.27 (or 0.5 if Scope /

Modified Scope = Changed) User Interaction / Modified

User Interaction None 0.85 Required 0.62 Confidentiality / Integrity / Availability / Modified Confidentiality / Modified Integrity / Modified Availability High 0.56 Low 0.22 None 0

Exploit Code Maturity Not Defined 1

High 1

Functional 0.97

Proof of Concept 0.94

Remediation Level Not Defined 1

Unavailable 1

Workaround 0.97

Temporary Fix 0.96

Official Fix 0.95

Report Confidence Not Defined 1

Confirmed 1 Reasonable 0.96 Unknown 0.92 Confidentiality Requirement / Integrity Requirement / Availability Requirement Not Defined 1 High 1.5 Medium 1 Low 0.5

Bảng 2.7 - Giá trị các số liệu

2.4. Một số kỹ thuật dò quét lỗ hổng hệ thống thông tin

Trong lĩnh vực đánh giá an toàn thông tin hệ thống, có rất nhiều các kỹ thuật dò quét lỗ hổng bảo mật, mỗi phương pháp có những ưu điểm và nhược điểm khác nhau, một số kỹ thuật đòi hỏi có sự tương tác trực tiếp của con người trong suốt quá trình thực hiện, nhưng cũng có những phương pháp hoàn toàn có thể được thực hiện tự động.

Một số kỹ thuật thường dùng trong đánh giá kiểm thử an toàn bảo mật được liệt kê như sau:

- Dò quét đánh giá an toàn thông tin mạng.

- Dò quét lỗ hổng có nguy cơ mất an toàn bảo mật. - Dò quét, phân tích các bản tin log hệ thống thống. - Dò quét mã độc của hệ thống.

- Dò quét dạng vét cạn mật khẩu.

Trong quá trình đánh giá an toàn bảo mật thông tin, các kỹ thuật trên thường được kết hợp với nhau để có thể đảm bảo hệ thống được đánh giá một cách toàn diện. Từ đó, có thể xác định các nguy cơ có thể gặp phải làm căn cứ kết xuất báo cáo đánh gia, hỗ trợ cho các chuyên gia có thể khắc phục. Công tác đánh giá kiểm thử an toàn bảo mật được thực hiện định kỳ hoặc đột xuất, tùy theo chính sách của các đơn vị, tổ chức nhằm đảm bảo các hệ thống đảm bảo an toàn bảo mật trước các nguy cơ bị tấn công.

Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin

Hình 2.6- Các bước kỹ thuật thực hiện dò quét lỗ hổng bảo mật

Các bước thực hiện dò quét lỗ hổng bảo mật đối với các hệ thống thông tin được thực hiện gồm 7 bước như sau:

- Xác định các IP trong hệ thống mạng, lập danh sách các IP gắn với các máy chủ hoặc thiết bị trong hệ thống mạng.

- Xác định, định vị các thệ thống đang hoạt động, xác định thông tin các thiết bị đang hoạt động trong mạng.

- Xác định danh sách các dịch vụ trên các máy chủ bằng cách quét các cổng port, xác định được các dịch vụ đang hoạt động.

- Xác định thông tin dịch vụ: Sử dụng các biện pháp kỹ thuật như gửi gói tin, hoặc các công cụ phục vụ thu thấp dữ liệu về các dịch vụ.

- Xác định ứng dụng đang cung cấp: Từ các thông tin dịch vụ ở trên để xác định các phiên bản và ứng dụng đang cung cấp.

- Xác định nguy cơ lỗ hổng: Với các ứng dụng đã thu thập được, có thể thực hiện kiểm thử giả lập tấn công để xác định lỗ hổng bảo mật của hệ thống.

- Kết xuất báo cáo lỗ hổng: Đánh giá mức độ nguy hiểm, lập báo cáo phân loại và cách thức có thể xử lý lỗ hổng.

2.4.1. Kỹ thuật dò quét mạng

Kỹ thuật dò quét mạng là xác định các máy chủ được kết nối trong một hệ thống mạng, các máy chủ được thực hiện kiểm thử nhằm xác định các dịch vụ đang hoạt động, ví dụ như FTP, HTTP… hoặc các dịch cung cấp web server như IIS, Apache. Từ đó có thể xác định danh sách các máy chủ cũng như sơ đồ kết nối và các dịch vụ đang hoạt động của hệ thống được dò quét.

trong đó phổ biến là công cụ nmap [13]. Đầu tiên công cụ sẽ thực hiện xác định các máy chủ đang hoạt động trong mạng, sau đó sẽ thực hiện dò quét các cổng port má chủ đang mở, từ đó có thể xác định các dịch vụ nào đang hoạt động. Thông thường, các công cụ dò quét sẽ chỉ xác định các máy chủ đang hoạt động, cổng port đang mở. Để có thể xác định các ứng dụng đang hoạt động, các bộ công cụ thường thực hiện nhiệm vụ dò quét cổng dịch vụ mạng.

Hình 2.7- Phần mềm Zenmap sử dụng công cụ Nmap để dò quét mạng Khi thực hiện dò quét mạng, các vấn đề về chiếm dụng băng thông hệ thống mạng cũng nên được xem xét, đảm bảo hiệu năng của hệ thống. Như vậy, với công cụ hỗ trợ dò quét mạng có thể sử dụng với các mục đích như sau:

- Xác định máy chủ trong hệ thống mạng có hợp pháp hay khồng? Nếu có những máy chủ không hợp pháp nào cần thực hiện ngắt khỏi hệ thống và xác đinh, điều tra nguyên nhân cụ thể.

- Xác định các dịch vụ có lỗ hổng bảo mật tồn tại trong hệ thống mạng hay không? Hoặc các dịch vụ không cần thiết nhằm loại bỏ hoặc ngắt khỏi hệ thống.

- Xác định máy chủ có tồn tại lỗ hổng hay không? Nếu có tồn tại lỗ hổng bảo mật cần thực hiện khác phục, cấu hình để hạn chế truy cập vào máy chủ đó.

- Cung cấp các thông tin cho việc kiể thử an toàn bảo mật hệ thống.

Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin

Để có thể dò quét lỗ hổng bảo mật qua mạng, các phần mềm dò quét cũng thực hiện xác định các máy chủ và các port tương ứng với các dịch đang chạy trên đó. Ngoài ra các phần mềm dò quét cung cấp thêm các thông tin chi tiết hơn về các lỗ hồng tồn tại này.

Bên cạnh đó, các phần mềm dò quét cũng xác định định thêm thêm các thông tin như: Phần mềm ứng dụng đang chạy đã lỗi thời, các bản và ứng dụng, cũng có thể xác định được mức độ vi phạm theo các chính sách bảo mật của các đơn vị, tổ chức. Để xác định được thì phần mềm cần xác định được hệ điều hành, các phần mềm đang chạy và so sánh chúng với dữ liệu về lỗ hổng bảo mật. Có hai loại phần mềm có thể dò quét được các lỗ hổng:

- Dò quét theo máy chủ: Thực hiện cài đặt phần mềm dò quét lên máy chủ, có thể là một phần mềm độc lập hoặc qua kết nối máy chủ để thực hiện trao đổi thông tin. Sau đó thực hiện phân tích các lỗ hổng và xác định các tệp tin không được bảo mật, các bản vá còn thiếu, chính sách bảo mật hoặc các phần mềm gián điệp…

- Dò quét qua mạng: Khác với dò quét mày chủ, nhiệm vụ này thực hiện xác đình dò quét tìm kiếm các hệ thống trong một dải mạng, tìm kiếm xác định các lỗ hổng đó. Ưu điểm là có thể giúp quản trị viên có thể dễ dàng thực hiện đánh giá dò quét từ hệ thống đơn giản đến các hệ thống phức tạp. Nhược điểm là không thể dò quét được các máy chủ không hoạt động sau các tưởng lửa hoặc không thể đánh giá dò quét được các dịch vụ bị lỗi.

Để có thể hiểu rõ hơn về các các kỹ thuật dò quét qua mạng, chúng tôi sẽ mô tả một số kỹ thuật được sử dụng trong phần mềm.

• Kỹ thuật truy vết hệ điều hành

Là kỹ thuật tìm thông tin về hệ điều hành máy chủ đang sử dụng khi thực hiện dò quét. Để có thể xác định được thông tin hệ điều hành, phần mềm dò quét sẽ gửi gói tin nháp đến máy chủ địch, sau đó sẽ phân tích gói tin được phản hồi, trong đó sẽ có thông tin về hệ điều hành. Ví dụ đối với gửi gói tin TCP, phần nội dung IP Header cũng có thể cung cấp