Các số liệu Tạm thời đo lường trạng thái hiện tại của các kỹ thuật khai thác hoặc tính khả dụng của mã, sự tồn tại của bất kỳ bản vá hoặc cách khắc phục nào hoặc sự tự tin trong mô tả về lỗ hổng.
a). Khai thác mã định hạn (E - Exploit Code Maturity)
Số liệu này đo lường khả năng lỗ hổng bị tấn công và thường dựa trên trạng thái kỹ thuật khai thác hiện tại, khả năng khai thác mã hoặc hoạt động khai thác. Tính sẵn sàng công khai của mã khai thác dễ sử dụng làm tăng số lượng kẻ tấn công tiềm năng bằng cách bao gồm cả những người không có kỹ năng, do đó làm tăng mức độ nghiêm trọng của lỗ hổng. Lỗ hổng có thể được khai thác càng dễ dàng thì điểm số lỗ hổng càng cao.
Giá trị Mô tả
Not Defined (X) Việc chỉ định giá trị này cho thấy không có đủ thông tin để chọn một trong các giá trị khác và không có tác động đến Điểm tạm thời tổng thể, tức là, nó có tác dụng tương tự đối với việc ghi điểm khi gán Cao.
High (H) Mã tự trị chức năng tồn tại, hoặc không cần khai thác (kích hoạt thủ công) và chi tiết có sẵn rộng rãi. Mã khai thác hoạt động trong mọi tình huống hoặc đang được phân phối tích cực thông qua một tác nhân tự trị (như sâu hoặc virus). Các hệ thống kết nối mạng có thể gặp phải các nỗ lực quét hoặc khai thác. Khai thác phát triển đã đạt đến mức độ đáng tin cậy, có sẵn rộng rãi, dễ sử dụng.
Functional (F) Mã khai thác chức năng có sẵn. Mã này hoạt động trong hầu hết các tình huống mà lỗ hổng tồn tại.
Proof-of- Concept (P)
Mã khai thác bằng chứng khái niệm có sẵn hoặc trình diễn tấn công là không thực tế đối với hầu hết các hệ thống. Mã hoặc kỹ thuật không hoạt động trong mọi tình huống và có thể yêu cầu sửa đổi đáng kể bởi một kẻ tấn công lành nghề.
Unproven (U) Không có mã khai thác có sẵn, hoặc khai thác là lý thuyết. b) Mức độ khắc phục (RL)
Mức độ khắc phục của một lỗ hổng là một yếu tố quan trọng để ưu tiên. Lỗ hổng điển hình là không thể so sánh được khi xuất bản lần đầu. Giải pháp thay thế hoặc hotfix có thể cung cấp khắc phục tạm thời cho đến khi bản vá chính thức hoặc nâng cấp được ban hành. Mỗi giai đoạn tương ứng sẽ điều chỉnh Điểm tạm thời xuống dưới, phản ánh mức độ khẩn cấp giảm dần khi việc khắc phục trở thành quyết định cuối cùng. Một bản sửa lỗi càng ít chính thức và lâu dài thì điểm số lỗ hổng càng cao.
Bảng 2.10: Mức khắc phục
Giá trị Số liệu Mô tả
Not Defined (X) Việc chỉ định giá trị này cho thấy không có đủ thông tin để chọn một trong các giá trị khác và không có tác động đến Điểm tạm thời tổng thể, tức là, nó có tác dụng tương tự đối với việc ghi điểm khi gán Không khả dụng.
Unavailable (U) Không có giải pháp nào khả dụng hoặc không thể áp dụng Workaround
(W)
Có một giải pháp không chính thức, không có nhà cung cấp có sẵn. Trong một số trường hợp, người dùng công nghệ bị ảnh hưởng sẽ tạo ra một bản vá của riêng họ hoặc cung cấp các bước để khắc phục hoặc giảm thiểu lỗ hổng.
Temporary Fix (T)
Có một sửa chữa chính thức nhưng tạm thời có sẵn. Điều này bao gồm các trường hợp trong đó nhà cung cấp phát hành một hotfix, công cụ hoặc giải pháp tạm thời.
Official Fix (O) Một giải pháp nhà cung cấp hoàn chỉnh có sẵn. Nhà cung cấp đã phát hành một bản vá chính thức hoặc có sẵn bản nâng cấp
c) Báo cáo bảo mật (Report Confidence - RC)
Số liệu này đo lường mức độ tin tưởng vào sự tồn tại của lỗ hổng và độ tin cậy của các chi tiết kỹ thuật đã biết. Đôi khi chỉ có sự tồn tại của lỗ hổng được công khai, nhưng không có chi tiết cụ thể. Ví dụ, một tác động có thể được công nhận là không mong muốn, nhưng nguyên nhân gốc rễ có thể không được biết đến. Lỗ hổng này sau đó có thể được chứng thực bởi nghiên cứu cho thấy lỗ hổng có thể nằm ở đâu, mặc dù nghiên cứu có thể không chắc chắn. Cuối cùng, một lỗ hổng có thể được xác nhận thông qua sự thừa nhận của tác giả hoặc nhà cung cấp công nghệ bị ảnh hưởng. Tính cấp thiết của lỗ hổng bảo mật cao hơn khi lỗ hổng được biết là tồn tại một cách chắc chắn. Số liệu này cũng cho thấy mức độ kiến thức kỹ thuật có sẵn cho những kẻ tấn công. Danh sách các giá trị có thể được trình bày trong Bảng 14. Càng nhiều lỗ hổng được xác nhận bởi nhà cung cấp hoặc các nguồn có uy tín khác, điểm càng cao.
Bảng 2.11: Báo cáo bảo mật
Giá trị Số liệu Mô tả
Not Defined (X) Việc chỉ định giá trị này cho thấy không có đủ thông tin để chọn một trong các giá trị khác và không có tác động đến Điểm tạm thời tổng thể, tức là, nó có tác dụng tương tự đối với việc ghi điểm như gán Xác nhận.
Confirmed (C) Báo cáo chi tiết tồn tại, hoặc tái tạo chức năng là có thể (khai thác chức năng có thể cung cấp điều này). Mã nguồn có sẵn để xác minh độc lập các xác nhận của nghiên cứu hoặc tác giả hoặc nhà cung cấp mã bị ảnh hưởng đã xác nhận sự hiện diện của lỗ hổng.
Reasonable (R) Các chi tiết quan trọng được công bố, nhưng các nhà nghiên cứu không tin tưởng hoàn toàn vào nguyên nhân gốc hoặc không có quyền truy cập vào mã nguồn để xác nhận đầy đủ tất cả các tương tác có thể dẫn đến kết quả. Tuy nhiên, sự tin cậy hợp lý tồn tại là lỗi có thể tái tạo và ít nhất một tác động có thể được xác minh (khai thác bằng chứng khái niệm có thể cung cấp điều này). Một ví dụ là một bài viết chi tiết về nghiên cứu về một lỗ hổng với lời giải thích (có thể bị che khuất hoặc bị bỏ lại như một bài tập cho người đọc), đưa ra sự đảm bảo về cách tái tạo kết quả.
Unknown (U) Có báo cáo về các tác động cho thấy một lỗ hổng hiện diện. Các báo cáo chỉ ra rằng nguyên nhân của lỗ hổng chưa được biết hoặc các báo cáo có thể khác nhau về nguyên nhân hoặc tác động của lỗ hổng.
