Explication du score des vulnérabilités dans Cyberwatch

Dans Cyberwatch, les vulnérabilités se voient affecter un score permettant de définir leur sévérité. Plusieurs scores sont associés aux vulnérabilités dans Cyberwatch :

le score CVSS V3 ;
le score CVSS V2 ;
le score personnalisé.

Le score utilisé et affiché par défaut dans Cyberwatch est le score CVSS V3.

Il est possible de choisir le score à afficher et utiliser dans la partie Administration > Personnalisation > Vulnérabilités.

Scores CVSS

Le score CVSS (Common Vulnerability Scoring System) est un système d’évaluation international permettant d’évaluer la criticité des vulnérabilités selon des critères objectifs et mesurables.

L’évaluation est constituée de trois métriques :

le score de Base : représente les caractéristiques intrinsèques et fondamentales d’une vulnérabilité, indépendamment du contexte temporel et environnemental ;
le score Temporel : représente les caractéristiques temporelles d’une vulnérabilité qui peuvent évoluer au cours du temps (mise à disposition de correctifs, présence d’exploits…) ;
le score Environnemental : représente les caractéristiques d’une vulnérabilité en fonction de l’environnement (type d’actif ou utilisateur concerné par exemple) et des conséquences qui pourraient découler de l’exploitation de cette vulnérabilité.

Ces métriques sont chacune constituées de plusieurs critères qui vont impacter le calcul du score CVSS. En l’absence de données permettant de définir les critères du score temporel et/ou du score environnemental, ces critères sont considérés « Non défini ». Un critère « Non défini » va impacter le score CVSS de la même manière que si le critère était défini au niveau le plus élevé.

Le site du FIRST met à disposition le calculateur officiel du score CVSS V3.1 utilisé par le NVD pour définir le score des vulnérabilités publiées.

CVSS V2

Le CVSS V2 représente la version 2 du score CVSS. Il était anciennement le score officiel de référence utilisé mondialement.

CVSS V3

Le CVSS V3 représente la version 3 du score CVSS. C’est le score officiel de référence actuellement reconnu et utilisé mondialement.

Il est devenu référence à la place du score CVSS V2 en décembre 2015. Cette nouvelle version du score CVSS apporte plusieurs changements dans le système de scoring, qui permettent notamment d’attribuer une note plus précise aux vulnérabilités appartenant au domaine des applications Web.

Niveau/Maturité des exploits

La facilité d’utilisation et le niveau de tests des exploits vont généralement dépendre des sources qui recensent ces exploits. Ce terme est appelé Niveau de l'exploit ou Maturité de l'exploit dans Cyberwatch.

Ainsi, dans Cyberwatch :

si aucun exploit n’est détecté, le niveau de l’exploit sera défini comme Non disponible ;
si un seul exploit est remonté par le NVD et/ou au moins un exploit est détecté sur GitHub, le niveau de l’exploit sera défini comme Démonstration ;
si plusieurs exploits sont remontés par le NVD et/ou au moins exploit est présent sur SecurityFocus ou Exploit-DB, le niveau de l’exploit sera défini comme Fonctionnel ;
si au moins un exploit est présent sur Metasploit, le niveau de l’exploit sera défini comme Élevé.

La maturité de l’exploit ainsi définie par Cyberwatch est utilisée pour modifier la valeur du champ « Exploit Code Maturity » du score CVSS V3 à la place de la valeur « Non défini » dans ce cas.

Cette valeur peut être redéfinie dans le menu d’édition d’une CVE.

Score personnalisé

Le score personnalisé offre aux utilisateurs la possibilité de redéfinir les métriques de base du score CVSS. Il est possible de redéfinir les huit critères suivants :

Vecteur d’Accès ;
Complexité d’Attaque ;
Privilèges Requis ;
Interaction Utilisateur ;
Portée ;
Confidentialité ;
Intégrité ;
Disponibilité.

La modification de chacun de ces critères aura pour conséquence de mettre à jour le score afin de rester conforme aux formules de calcul du score CVSS V3 données par le FIRST. La valeur du score est également modifiable sans interaction avec ces critères.