روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ زمانی که برای اولینبار با CVSS (سیستم مشترک امتیازدهی آسیبپذیریها) مواجه میشوید، ممکن است تصور کنید این ابزار، راهحل کامل برای ارزیابی و اولویتبندی آسیبپذیریهاست. بهنظر میرسد نمره بالاتر، یعنی آسیبپذیری بحرانیتر؛ درست است؟ اما در واقعیت، این روش چندان کارآمد نیست. هر سال، تعداد آسیبپذیریهایی با امتیاز CVSS بالا افزایش مییابد. تیمهای امنیتی توان اصلاح همه آنها را بهموقع ندارند، در حالی که بیشتر این ضعفها در حملات واقعی مورد سوءاستفاده قرار نمیگیرند. از سوی دیگر، مهاجمان اغلب از آسیبپذیریهایی با ظاهر ساده و امتیاز پایین بهره میبرند. مشکلات پنهان دیگری هم وجود دارد؛ از مسائل فنی مانند اختلاف در امتیازدهی گرفته تا مشکلات مفهومی مانند نادیده گرفتن زمینههای تجاری. اینها لزوماً ضعفهای ذاتی CVSS نیستند، بلکه نشاندهنده نیاز به استفاده درست از آن در قالب یک فرآیند جامعتر و هوشمندانهتر برای مدیریت آسیبپذیریها هستند.
اختلاف در امتیازدهی CVSS
تا به حال توجه کردهاید که یک آسیبپذیری ممکن است در منابع مختلف، امتیازهای متفاوتی داشته باشد؟ یک امتیاز از پژوهشگر امنیتی که آن را کشف کرده، یکی از سوی تولیدکننده نرمافزار، و امتیازی دیگر از پایگاه داده ملی آسیبپذیریها؟ این تفاوتها همیشه ناشی از اشتباه نیستند. گاهی دیدگاه کارشناسان درباره شرایط بهرهبرداری از آسیبپذیری متفاوت است. ممکن است برداشت آنها از سطح دسترسی برنامه، یا اینکه آیا به اینترنت متصل است یا نه، با یکدیگر فرق داشته باشد. برای مثال، تولیدکننده نرمافزار ممکن است ارزیابیاش را بر پایه بهترین روشهای پیشنهادی خود انجام دهد، در حالی که پژوهشگر امنیتی، پیکربندیهای رایج در سازمانها را در نظر بگیرد. یکی ممکن است پیچیدگی بهرهبرداری را بالا بداند و دیگری پایین. این اتفاق غیرمعمول نیست؛ در مطالعهای در سال ۲۰۲۳ توسط Vulncheck مشخص شد که ۲۰٪ از آسیبپذیریهای موجود در پایگاه ملی آسیبپذیریها (NVD)، دو امتیاز CVSS3 متفاوت از منابع مختلف داشتند که ۵۶٪ از آنها با یکدیگر در تضاد بودند.
اشتباهات رایج در استفاده از CVSS
طی بیش از یک دهه، سازمان FIRST همواره بر کاربرد صحیح و اصولی CVSS تأکید داشته است. با این حال، سازمانها همچنان در بکارگیری این سیستم در فرآیندهای مدیریت آسیبپذیری خود، مرتکب اشتباهات رایجی میشوند:
- استفاده از امتیاز پایه CVSS بهعنوان شاخص اصلی ریسک:
CVSS تنها شدت یک آسیبپذیری را اندازهگیری میکند، نه احتمال سوءاستفاده از آن یا میزان اثرگذاری آن بر سازمان. ممکن است یک آسیبپذیری بحرانی در محیط خاص شرکت، کاملاً بیخطر باشد چون در سیستمی بیاهمیت و جداافتاده قرار دارد. در مقابل، نشتیِ اطلاعات ظاهراً کماهمیت با امتیاز CVSS معادل ۶ میتواند نقطه شروع حملهای گسترده مانند باجافزار باشد.
- استفاده از امتیاز پایه CVSS بدون در نظر گرفتن بُعد زمانی و محیطی:
در دسترس بودن وصلهها، وجود کدهای بهرهبرداری عمومی و راهکارهای جبرانی، تأثیر زیادی بر اولویت و نحوه رسیدگی به آسیبپذیری دارند.
- تمرکز صرف بر آسیبپذیریهایی با امتیاز بالاتر از حد مشخص:
برخی استانداردها یا مقررات (مثلاً الزام به رفع آسیبپذیریهای با امتیاز بالای ۸ طی یک ماه) باعث میشوند تیمهای امنیتی با حجم بالایی از وظایف مواجه شوند، در حالیکه این فشار کاری، لزوماً به بهبود امنیت منجر نمیشود. تعداد آسیبپذیریهای با امتیاز بالا در ده سال گذشته بهطور چشمگیری افزایش یافته است.
- استفاده از CVSS برای پیشبینی احتمال سوءاستفاده:
بین امتیاز CVSS و احتمال بهرهبرداری واقعی، همبستگی ضعیفی وجود دارد. تنها ۱۷٪ از آسیبپذیریهای بحرانی واقعاً در حملات مورد استفاده قرار میگیرند.
- اتکا صرف به امتیاز عددی CVSS:
در CVSS، بردار استاندارد امتیازدهی معرفی شده تا مدافعان بتوانند جزئیات فنی آسیبپذیری را درک کرده و با توجه به شرایط خاص سازمان خود، اهمیت آن را محاسبه کنند. نسخه ۴.۰ CVSS بهطور خاص بازطراحی شده تا زمینههای تجاری را بهتر پوشش دهد. هرگونه تلاش برای مدیریت آسیبپذیری که صرفاً بر عدد CVSS متکی باشد، عمدتاً بیاثر خواهد بود.
- نادیده گرفتن سایر منابع اطلاعاتی:
تکیه بر یک پایگاه داده آسیبپذیری و بررسی صرف امتیاز CVSS کافی نیست. نبود اطلاعاتی مانند وصلههای موجود، نمونه کدهای بهرهبرداری عملی و شواهد سوءاستفاده در دنیای واقعی، تصمیمگیری درست برای مقابله با آسیبپذیری را دشوار میکند.
آنچه CVSS درباره یک آسیبپذیری به شما نمیگوید
CVSS استانداردی صنعتی برای توصیف شدت آسیبپذیری، شرایط بهرهبرداری از آن، و تأثیر بالقوه بر سیستم هدف است. اما فراتر از این توصیفها و امتیاز پایه CVSS ، نکات مهم زیادی وجود دارد که این سیستم پوشش نمیدهد:
- چه کسی آسیبپذیری را کشف کرده است؟ آیا سازنده نرمافزار، یک پژوهشگر اخلاقمدار که مشکل را گزارش داده و منتظر انتشار وصله مانده، یا یک مهاجم مخرب؟
- آیا کد اکسپلویت بهصورت عمومی در دسترس است؟ یعنی آیا راهکار عملی و آمادهای برای سوءاستفاده وجود دارد؟
- امکان بهرهبرداری در سناریوهای واقعی چقدر است؟
- آیا پچی برای آن منتشر شده است؟ آیا این وصله همه نسخههای آسیبپذیر را پوشش میدهد؟ و آیا اعمال آن عوارض جانبی دارد؟
- آیا سازمان باید شخصاً آسیبپذیری را رفع کند؟ یا مربوط به یک سرویس کلود (SaaS) است که مسئولیت رفع با ارائهدهنده است؟
- آیا نشانهای از سوءاستفاده در دنیای واقعی وجود دارد؟
- اگر وجود ندارد، احتمال سوءاستفاده در آینده چقدر است؟
- کدام سیستمهای خاص درون سازمان در معرض این آسیبپذیری هستند؟
- آیا بهرهبرداری برای مهاجم واقعاً ممکن است؟
برای مثال، ممکن است سیستم آسیبپذیر، یک وبسرور سازمانی قابل دسترس از اینترنت باشد، یا فقط یک چاپگر قدیمی باشد که بهصورت فیزیکی به یک کامپیوتر بدون اتصال شبکه متصل است. حتی ممکن است آسیبپذیری در متدی از یک مؤلفه نرمافزاری باشد که برنامه سازمانی هیچگاه آن متد را فراخوانی نمیکند.
- در صورت نفوذ، چه اتفاقی میافتد؟
- هزینه مالی این رخداد برای کسبوکار چقدر خواهد بود؟
همه این عوامل نقش مهمی در تصمیمگیری درباره زمان، نحوه، و حتی ضرورت رفع آسیبپذیری ایفا میکنند — موضوعاتی که CVSS بهتنهایی پاسخگوی آنها نیست.
چطور CVSS را کاملتر کنیم؟ پاسخ در RBVM نهفته است!
بسیاری از عواملی که در چارچوب محدود CVSS بهسختی قابل سنجشاند، در رویکردی بهنام مدیریت آسیبپذیری مبتنی بر ریسک (RBVM) جایگاه محوری دارند.
RBVM یک فرآیند چرخهای، یکپارچه و پیوسته است که شامل مراحل کلیدی زیر میشود:
- شناسایی کامل داراییهای IT سازمان:
از کامپیوتر و سرور گرفته تا نرمافزارها، خدمات ابری و تجهیزات اینترنت اشیاء
- اولویتبندی داراییها بر اساس اهمیت:
تشخیص «داراییهای حیاتی» که بیشترین ارزش تجاری یا امنیتی را دارند.
- اسکن آسیبپذیریها:
جستجوی آسیبپذیریهای شناختهشده در داراییها.
- غنیسازی دادههای آسیبپذیری:
فراتر رفتن از CVSS Base و ترکیب آن با:
- دادههای تهدید و هوش تهدیدات
- احتمال بهرهبرداری با ابزارهایی مانند EPSS یا پایگاههایی مثل CISA KEV
- درک بستر تجاری آسیبپذیریها:
تحلیل اینکه آسیبپذیری چگونه میتواند بر داراییهای آسیبپذیر تأثیر بگذارد، با توجه به پیکربندی و کاربرد آنها در سازمان.
- مشخص کردن روشهای مقابله:
بررسی امکان رفع آسیبپذیری با وصله یا استفاده از کنترلهای جبرانی جایگزین.
- ارزیابی ریسک تجاری و اولویتبندی:
با در نظر گرفتن تمام دادههای فنی و تجاری، تصمیمگیری درباره اینکه کدام آسیبپذیریها در اولویت رسیدگی هستند. این اولویتبندی میتواند بر اساس مدل CVSS-BTE که مؤلفه محیطی را هم لحاظ میکند یا متدهای جایگزین انجام شود. الزامات قانونی هم در این مرحله تأثیرگذارند.
- تعیین زمانبندی رفع آسیبپذیری:
با توجه به سطح ریسک و شرایط عملیاتی (مانند زمان مناسب برای اعمال تغییرات). اگر پچ در دسترس نباشد یا ریسک اعمال آن زیاد باشد، از اقدامات جبرانی استفاده میشود. گاهی نیز ممکن است تصمیم آگاهانه برای پذیرش ریسک و عدم رفع آسیبپذیری اتخاذ شود.
فراتر از رفع موردیِ آسیبپذیریها
علاوه بر موارد فوق، تحلیل دورهای زیرساخت و آسیبپذیریهای سازمانی ضروری است. هدف، اتخاذ اقداماتی پیشگیرانه برای حذف دستهای از آسیبپذیریها یا افزایش سطح امنیتی کلی سیستمهاست؛ مانند:
- ریز-بخشبندی شبکه
- اجرای اصل حداقل دسترسی
- سیاستهای سختگیرانهتر برای مدیریت حسابها
چرا RBVM بهتر عمل میکند؟
RBVM باعث تمرکز بهتر تیمهای امنیتی روی آسیبپذیریهایی میشود که واقعاً تهدیدی برای سازمان هستند. طبق مطالعهای از FIRST:
- اگر فقط از EPSS برای اولویتبندی استفاده شود، میتوان تنها با رسیدگی به ۳٪آسیبپذیریها، به ۶۵٪اثربخشی دست یافت.
- در مقابل، استفاده صرف از امتیاز پایه CVSS-B نیاز به رفع ۵۷٪آسیبپذیریها دارد، اما فقط ۴٪اثربخشی دارد.
در اینجا، «اثربخشی» به معنای رسیدگی موفق به آسیبپذیریهایی است که در حملات واقعی مورد سوءاستفاده قرار گرفتهاند.
در نتیجه
مدیریت آسیبپذیری زمانی واقعاً مؤثر است که از عدد خشک CVSS فراتر برویم و با نگاهی واقعگرایانه، هوشمند و تجاری، ریسکها را تحلیل کنیم — درست همان کاری که RBVM انجام میدهد.
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.