17. CVSS 위협 평가 이해

CVSS(Common Vulnerability Scoring System) 현재 기준 Version 3.1

https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator

NVD - CVSS v3 Calculator

 

취약점을 정량적으로 계산하여 심각도를 결정하는데 사용하기 위한 기준

Base Score를 기준으로 알아보면

- Access Vector(AV)

 취약점 발생 지점에 대한 접근 형식 (Network(웹서버), Adjacent Network(Telnet, FTP 제한된 네트워크), Local(내부망))

- Access Complexity(AC)

 공격자가 접근 할 때 복잡도(Low (누구나 자동화 도구 정도로도 가능) → Medium → High(고급 해커))

- Privileges Required(PR)

 공격 지점에서의 인증 여부 (none(누구나 접근 가능한 곳에서 공격 가능) - Low(회원가입) - High(다중 인증))

- Confidentiality Impact(C)

 공격에 의해 유출된 정보의 정도 (기밀성)

- Integrity Impact(I)

 공격에 의해 정보가 조작된 정도 (무결성)

- Availablility Impact(A)

 공격에 의해 서비스가 훼손된 정도 (가용성)

 

위의 Base Score에 추가 적인 Score Metrics들을 이용하여 점수를 계산해 준다.

정량적으로 한다고 해도 보시다시피 Score를 결정하는 Factor 하나하나를 다 평가하는 사람의 주관에 의해서 결정하게 되어 있다. 진단하는 사람마다 보는 관점이 다르기 때문에 똑같은 취약점으로도 다른 결과가 나올 수 있다. 이를 최소화 하기 위한 장치로 이해하면 되겠다.

 

- Exploit Code Maturity(E)

 공격 코드가 대중에 공개된 정도 E:H(전체가 완전하게 공개됨) - E:F(공격이 실행가능한 정도로 공개됨) - E:P(공격코드의 개념적인 부분만 공개됨)

- Remediation Level(RL)

 취약점이 개선되어 패치된 정도

- Report Confidence(RC)

 취약점에 대한 신뢰도 (RC:C(공식적으로 확인하고 보고서가 나온 것))

 

Base Score만 정의하고 아래 추가적인 Score Metrics는 정의하지 않아도 점수는 계산된다.

도출된 점수를 어떻게 Band로 나눠서 카테고리를 만들 것인지 결정하면 된다.