Như trên đã nêu, nhóm số liệu Cơ sở gồm hai bộ số liệu: Số liệu Khả năng khai thác và số liệu Tác động; trong đó số liệu Khả năng khai thác gồm danh mục số liệu phụ: Vector tấn công, Độ phức tạp tấn công, Yêu cầu đặc quyền, Tương tác người dùng, Phạm vi; số liệu Tác động gồm: Tác động bảo mật, Tác động toàn vẹn, Tác động khả dụng.
a) Số liệu Khả năng khai thác (Exploitability Metrics)
Như đã đề cập trước đây, các số liệu Khả năng khai thác phản ánh các đặc điểm của thứ dễ bị tổn thương, mà chúng ta gọi là thành phần dễ bị tổn thương (vulnerable component). Do đó, mỗi số liệu Khả năng khai thác được liệt kê dưới đây phải được ghi tương ứng với thành phần dễ bị tổn thương và phản ánh các thuộc tính của lỗ hổng dẫn đến một cuộc tấn công thành công.
Khi chấm điểm các số liệu Cơ sở, cần giả định rằng kẻ tấn công có kiến thức nâng cao về các điểm yếu của hệ thống mục tiêu, bao gồm cấu hình chung và các cơ chế bảo vệ mặc định (chẳng hạn: Tường lửa tích hợp, giới hạn tốc độ, kiểm soát lưu lượng truy cập). Ví dụ, khai thác lỗ hổng dẫn đến thành công có thể lặp lại, có tính quyết định vẫn phải được coi là giá trị Thấp cho Độ phức tạp tấn công (Attack Complexity), không phụ thuộc vào kiến thức hoặc khả năng của kẻ tấn công. Hơn nữa, thay vào đó, giảm thiểu tấn công cụ thể theo mục tiêu (ví dụ: bộ lọc tường lửa tùy chỉnh, danh sách truy cập) nên được phản ánh trong nhóm tính điểm theo số liệu Môi trường.
Các cấu hình cụ thể không được tác động đến bất kỳ thuộc tính nào đóng góp vào điểm Cơ sở CVSS, tức là, nếu một cấu hình cụ thể được yêu cầu để một cuộc tấn công thành công, thành phần dễ bị tổn thương sẽ được ghi giả định rằng nó nằm trong cấu hình đó.
a1) Vector tấn công (AV- Attack Vector)
Số liệu này phản ánh ngữ cảnh có thể khai thác lỗ hổng. Danh sách các giá trị có thể được trình bày trong sau:
Bảng 2.1: Vector tấn công
Giá trị Mô tả
Network (N) Lỗ hổng khi truy cập mạng. Điều này có nghĩa là thành phần được liên kết với ngăn xếp mạng và đường dẫn của kẻ tấn công thông qua lớp 3 Hệ thống liên kết mở (OSI) (lớp mạng).
Một lỗ hổng như vậy thường được gọi là có thể khai thác từ xa, và có thể được coi là một cuộc tấn công có thể khai thác ở cấp độ giao thức, một hoặc nhiều bước nhảy mạng (chẳng hạn qua một hoặc nhiều bộ định tuyến). Một ví dụ về tấn công mạng là kẻ tấn công gây ra sự từ chối dịch vụ (DoS) bằng cách gửi gói TCP được tạo riêng qua mạng diện rộng (ví dụ: CVE 2004 0230).
Adjacent (A) Một lỗ hổng có thể khai thác khi truy cập mạng liền kề, tuy nhiên thành phần này được liên kết với ngăn xếp mạng qua bluetooth hoặc mạng logic (như mạng con IP cục bộ).
Điều này có thể có nghĩa là một cuộc tấn công phải được khởi chạy từ cùng một mạng vật lý được chia sẻ (ví dụ: Bluetooth hoặc IEEE 802.11) hoặc mạng logic (ví dụ: mạng con IP cục bộ) hoặc từ trong một miền quản trị an toàn hoặc bị hạn chế (ví dụ: MPLS, VPN bảo mật để một khu vực mạng hành chính). Một ví dụ về một cuộc tấn công Liền kề ARP (IPv4) hoặc khám phá lân cận (neighbor discovery) (IPv6) sẽ là một cuộc tấn công từ chối dịch vụ tràn ngập (flood leading to a denial of service) trên mạng LAN (như CVE-2013-6014).
Local (L) Một lỗ hổng với quyền truy cập cục bộ.
Điều này có nghĩa là lỗ hổng không bị ràng buộc với ngăn xếp mạng và đường tấn công thông qua các khả năng đọc / ghi / thực hoặc kẻ tấn công khai thác lỗ hổng bằng cách truy cập hệ thống đích cục bộ (ví dụ: bàn phím, bảng điều khiển) hoặc từ xa (ví dụ: SSH); hoặc là kẻ tấn công dựa vào Tương tác người dùng bởi một người khác để thực hiện
các hành động cần thiết để khai thác lỗ hổng (ví dụ: sử dụng các kỹ thuật kỹ thuật xã hội để lừa người dùng hợp pháp mở tài liệu độc hại). Physical (P) Một lỗ hổng yêu cầu truy cập vật lý đến một thành phần dễ bị tổn
thương trên một thiết bị.
Một ví dụ về một cuộc tấn công như vậy là một cuộc tấn công khởi động lạnh, trong đó kẻ tấn công có quyền truy cập vào các khóa mã hóa đĩa sau khi truy cập vật lý vào hệ thống đích. Các ví dụ khác bao gồm các cuộc tấn công ngoại vi thông qua Truy cập bộ nhớ trực tiếp FireWire / USB (DMA).
a2) Độ phức tạp tấn công (AC- Attack Complexity)
Số liệu này mô tả các điều kiện nằm ngoài sự kiểm soát của kẻ tấn công có thể tồn tại để khai thác lỗ hổng. Danh sách các giá trị có thể được trình bày trong bảng sau:
Bảng 2.2: Độ phức tạp tấn công
Giá trị Mô tả
Low (L) Điều kiện truy cập chuyên biệt hoặc tình tiết giảm nhẹ không tồn tại. Kẻ tấn công có thể mong đợi thành công lặp lại khi tấn công thành phần dễ bị tổn thương.
High (H) Một cuộc tấn công thành công phụ thuộc vào các điều kiện ngoài tầm kiểm soát của kẻ tấn công. Đó là, một cuộc tấn công thành công không thể được thực hiện theo ý muốn, nhưng yêu cầu kẻ tấn công phải đầu tư vào một số nỗ lực có thể đo lường được để chuẩn bị hoặc thực hiện chống lại thành phần dễ bị tổn thương trước khi một cuộc tấn công thành công có thể xảy ra.
a3) Đặc quyền bắt buộc (PR)
Số liệu này mô tả mức độ đặc quyền mà kẻ tấn công phải có trước khi khai thác thành công lỗ hổng. Điểm Cơ sở là lớn nhất nếu không có đặc quyền được yêu cầu. Danh sách các giá trị có thể được trình bày trong bảng sau:
Bảng 2.3: Đặc quyền bắt buộc
Giá trị Mô tả
None (N) Kẻ tấn công là trái phép trước khi tấn công, và do đó không yêu cầu bất kỳ quyền truy cập nào vào các cài đặt hoặc tệp của hệ thống dễ bị tấn công để thực hiện một cuộc tấn công.
Low (L) Kẻ tấn công yêu cầu các đặc quyền cung cấp các khả năng cơ bản của người dùng, thông thường chỉ có thể ảnh hưởng đến các cài đặt và tệp do người dùng sở hữu. Ngoài ra, kẻ tấn công có đặc quyền Thấp có khả năng chỉ truy cập các tài nguyên không nhạy cảm.
High (H) Kẻ tấn công yêu cầu các đặc quyền cung cấp quyền kiểm soát đáng kể (ví dụ: quản trị) đối với thành phần dễ bị tấn công cho phép truy cập vào các cài đặt và tệp trên toàn thành phần.
Số liệu này nắm bắt được yêu cầu cho người dùng con người, ngoài kẻ tấn công, tham gia vào sự thỏa hiệp thành công của thành phần dễ bị tổn thương. Số liệu này xác định liệu lỗ hổng có thể được khai thác chỉ theo ý muốn của kẻ tấn công hay không, hoặc liệu một người dùng riêng (hoặc quá trình do người dùng khởi tạo) phải tham gia theo cách nào đó. Điểm Cơ sở là lớn nhất khi không yêu cầu tương tác người dùng. Danh sách các giá trị có thể được trình bày trong bảng sau:
Bảng 2.4: Tương tác người dùng
Giá trị Mô tả
None (N) Hệ thống dễ bị tấn công có thể bị khai thác mà không cần sự tương tác từ bất kỳ người dùng nào.
Required (R) Khai thác thành công lỗ hổng này đòi hỏi người dùng phải thực hiện một số hành động trước khi lỗ hổng có thể bị khai thác. Ví dụ, việc khai thác thành công chỉ có thể được thực hiện trong quá trình cài đặt ứng dụng bởi quản trị viên hệ thống.
b) Phạm vi (S)
Phạm vi số liệu cho biết liệu một lỗ hổng trong một thành phần dễ bị tổn thương có ảnh hưởng đến tài nguyên trong các thành phần nằm ngoài phạm vi bảo mật của nó hay không. Nếu một lỗ hổng trong thành phần dễ bị tổn thương có thể ảnh hưởng đến một thành phần thuộc phạm vi bảo mật khác với thành phần dễ bị tổn thương, thì sự thay đổi Phạm vi sẽ xảy ra. Ví dụ: Cơ sở dữ liệu chỉ được sử dụng bởi một ứng dụng được coi là một phần của phạm vi bảo mật của ứng dụng đó ngay cả khi cơ sở dữ liệu có thẩm quyền bảo mật riêng. Danh sách các giá trị có thể được trình bày trong bảng sau:
Bảng 2.5: Phạm vi
Giá trị Mô tả
Unchanged (U) Một lỗ hổng được khai thác chỉ có thể ảnh hưởng đến các tài nguyên được quản lý bởi cùng một cơ quan bảo mật. Trong trường hợp này, thành phần dễ bị tổn thương và thành phần bị ảnh hưởng là như nhau hoặc cả hai đều được quản lý bởi cùng một cơ quan bảo mật.
Changed (C) Một lỗ hổng được khai thác có thể ảnh hưởng đến các tài nguyên ngoài phạm vi bảo mật được quản lý bởi cơ quan bảo mật của thành phần dễ bị tổn thương. Trong trường hợp này, thành phần dễ bị tổn thương và thành phần bị ảnh hưởng là khác nhau và được quản lý bởi các cơ quan an ninh khác nhau.
c) Số liệu Tác động
Các số liệu tác động nắm bắt các tác động của một lỗ hổng được khai thác thành công trên thành phần chịu hậu quả tồi tệ nhất liên quan trực tiếp và có thể dự đoán nhất với cuộc tấn công. Các nhà phân tích nên hạn chế các tác động đến một kết quả cuối cùng hợp lý mà họ tin rằng kẻ tấn công có thể đạt được.
Chỉ nên tăng quyền truy cập, đặc quyền đạt được hoặc kết quả tiêu cực khác do khai thác thành công khi tính điểm số liệu Tác động của lỗ hổng. Ví dụ, hãy xem xét một lỗ hổng yêu cầu quyền chỉ đọc trước khi có thể khai thác lỗ hổng. Sau khi khai thác thành công, kẻ tấn công duy trì cùng mức truy cập đọc và đạt được quyền truy cập ghi. Trong trường hợp này, chỉ có số liệu tác động toàn vẹn mới được ghi và các số liệu về tác động bảo mật và tính sẵn sàng nên được đặt là Không có.
c1) Bảo mật (C)
Số liệu này đo lường tác động đến tính bảo mật của tài nguyên thông tin được quản lý bởi một thành phần phần mềm do lỗ hổng được khai thác thành công. Bảo mật đề cập đến việc giới hạn quyền truy cập và tiết lộ thông tin đối với chỉ những người dùng được ủy quyền, cũng như ngăn chặn truy cập bằng cách hoặc tiết lộ cho những người không được ủy quyền. Điểm Cơ sở là lớn nhất khi tổn thất cho thành phần bị ảnh hưởng là cao nhất. Danh sách các giá trị có thể được trình bày trong Bảng sau:
Bảng 2.6: Bảo mật
Giá trị Mô tả
High (H) Mất hoàn toàn tính bảo mật, dẫn đến tất cả các tài nguyên trong thành phần bị ảnh hưởng sẽ được tiết lộ cho kẻ tấn công. Ngoài ra, chỉ có quyền truy cập vào một số thông tin hạn chế, nhưng thông tin được tiết lộ cho thấy tác động trực tiếp, nghiêm trọng. Ví dụ: kẻ tấn công đánh cắp mật khẩu của quản trị viên hoặc khóa mã hóa riêng của máy chủ web.
Low (L) Có một số mất bảo mật. Truy cập vào một số thông tin hạn chế được lấy, nhưng kẻ tấn công không có quyền kiểm soát thông tin nào thu được, hoặc số lượng hoặc loại mất mát bị hạn chế. Việc tiết lộ thông tin không gây ra tổn thất trực tiếp, nghiêm trọng cho thành phần bị ảnh hưởng. None (N) Không có sự mất bảo mật trong các thành phần bị ảnh hưởng.
c2) Tính toàn vẹn (I)
Số liệu này đo lường tác động đến tính toàn vẹn của lỗ hổng được khai thác thành công. Tính toàn vẹn đề cập đến sự đáng tin cậy và tính xác thực của thông tin. Điểm Cơ sở là lớn nhất khi hệ quả của thành phần bị ảnh hưởng là cao nhất. Danh sách các giá trị có thể được trình bày trong bảng sau:
Bảng 2.7: Tính toàn vẹn
Giá trị Mô tả
High (H) Có sự mất toàn bộ tính toàn vẹn, hoặc mất hoàn toàn sự bảo vệ. Ví dụ, kẻ tấn công có thể sửa đổi bất kỳ / tất cả các tệp được bảo vệ bởi thành phần bị ảnh hưởng. Ngoài ra, chỉ một số tệp có thể được sửa đổi, nhưng sửa đổi độc hại sẽ gây ra hậu quả nghiêm trọng trực tiếp đến thành phần bị ảnh hưởng.
Low (L) Sửa đổi dữ liệu là có thể, nhưng kẻ tấn công không có quyền kiểm soát hậu quả của việc sửa đổi, hoặc số lượng sửa đổi bị hạn chế. Việc sửa đổi dữ liệu không có tác động trực tiếp, nghiêm trọng đến thành phần bị ảnh hưởng.
None (N) Không có sự mất tính toàn vẹn trong các thành phần bị ảnh hưởng. c3) Tính khả dụng (A)
Số liệu này đo lường tác động đến tính khả dụng của thành phần bị ảnh hưởng do lỗ hổng được khai thác thành công. Mặc dù các số liệu về tác động Bảo mật và Tính toàn vẹn áp dụng cho việc mất tính bảo mật hoặc tính toàn vẹn của dữ liệu (ví dụ: Thông tin, tệp) được sử dụng bởi thành phần bị ảnh hưởng, số liệu này đề cập đến việc mất tính khả dụng của chính thành phần bị ảnh hưởng, như dịch vụ được nối mạng (ví dụ: Web, cơ sở dữ liệu, email). Điểm Cơ sở là lớn nhất khi hệ quả của thành phần bị ảnh hưởng là cao nhất. Danh sách các giá trị có thể được trình bày trong bảng sau:
Bảng 2.8: Tính khả dụng
Giá trị Mô tả
High (H) Có sự mất hoàn toàn về tính khả dụng, dẫn đến việc kẻ tấn công có thể từ chối hoàn toàn quyền truy cập vào các tài nguyên trong thành phần bị ảnh hưởng; mất mát này được duy trì (trong khi kẻ tấn công tiếp tục thực hiện cuộc tấn công) hoặc dai dẳng (tình trạng vẫn tồn tại ngay cả sau khi cuộc tấn công đã hoàn thành). Ngoài ra, kẻ tấn công có khả năng từ chối một số tính khả dụng, nhưng việc mất tính khả dụng là hậu quả trực tiếp, nghiêm trọng đối với thành phần bị ảnh hưởng (ví dụ: Kẻ tấn công không thể phá vỡ các kết nối hiện có, nhưng có thể ngăn chặn các kết nối mới; rằng, trong mỗi trường hợp của một cuộc tấn công thành công, chỉ rò rỉ một lượng bộ nhớ nhỏ, nhưng sau khi khai thác lặp đi lặp lại khiến một dịch vụ trở nên hoàn toàn không khả dụng).
Low (L) Hiệu suất bị giảm hoặc có sự gián đoạn về nguồn lực sẵn có. Ngay cả khi có thể khai thác lỗ hổng nhiều lần, kẻ tấn công không có khả năng từ chối hoàn toàn dịch vụ đối với người dùng hợp pháp. Các tài nguyên trong thành phần bị ảnh hưởng luôn có sẵn một phần hoặc chỉ có sẵn một phần thời gian, nhưng nhìn chung không có hậu quả trực tiếp, nghiêm trọng nào đối với thành phần bị ảnh hưởng.
None (N) Không có tác động đến tính khả dụng trong thành phần bị ảnh hưởng.