8.6 Zkouškové okruhy

Tato stránka obsahuje vypracované odpovědi na zkouškové otázky týkající se kapitoly 8.

Otázka: Scoring systems, DREAD, OWASP, CVSS

Systémy hodnocení (Scoring systems): Slouží k přiřazení skóre závažnosti (severity) objeveným zranitelnostem. Toto skóre má pomoci příjemci penetračního reportu s prioritizací úsilí při nápravě nebo mitigačních krocích.

DREAD: Starší model od Microsoftu hodnocený ve škále 1-3 v 5 kategoriích (Damage potential, Reproducibility, Exploitability, Affected users, Discoverability). Výsledné skóre 5-15 určí, zda je riziko Low, Medium, nebo High.

OWASP Risk Rating Methodology: Systém opírající se o vzorec Risk = Likelihood × Impact. Pracuje v 6 krocích. Hodnotí faktory útočníka a zranitelnosti (pro výpočet Likelihood) a faktory technického a obchodního dopadu (pro výpočet Impact). Skóre pro Impact a Likelihood se pak zanesou do matice, která určí konečnou úroveň (Low, Medium, High, Critical).

CVSS (Common Vulnerability Scoring System): Nejpoužívanější standard (verze v2.0, v3.1, v4.0). Skládá se ze 3 hlavních metrik:

  • Base Metrics: Základní neměnné vlastnosti zranitelnosti (např. Attack Vector, Complexity, Impact na CIA triádu). Z nich se počítá Base Score od 0.0 do 10.0.
  • Temporal (v4.0 Threat) Metrics: Mění se v čase (např. zralost exploitu).
  • Environmental Metrics: Závislé na konkrétním prostředí oběti (požadavky organizace).

Ve v4.0 přibyly navíc Supplemental Metrics. Hodnocení je formou symbolického vektoru, např. CVSS:3.1/AV:N/AC:L/...

Otázka: CVE vs NVD

CVE (Common Vulnerabilities and Exposures):

  • Jde o základní seznam (slovník) veřejně odhalených zranitelností.
  • Je udržován organizací MITRE.
  • Každé zranitelnosti přiděluje unikátní identifikátor ve formátu CVE-YYYY-NNNN (kde YYYY je rok objevu).
  • Obsahuje pouze stručný popis zranitelnosti a reference.

NVD (National Vulnerability Database):

  • Je to americká národní databáze udržovaná institutem NIST.
  • Je plně synchronizovaná se seznamem CVE, z něhož čerpá.
  • Obohacuje záznamy CVE o dodatečnou přidanou hodnotu – zejm. o analytická data, skóre závažnosti (přiřazuje jim skóre podle CVSS), zasažené softwarové platformy (CPE - Common Platform Enumeration) a odkazy na záplaty či řešení.

Shrnutí: CVE poskytuje jména a základní definici, zatímco NVD k nim doplňuje komplexní analytická data a hodnocení rizika (skóre CVSS).