Explication du score des vulnérabilités dans Cyberwatch
Dans Cyberwatch, les vulnérabilités se voient affecter un score permettant de définir leur sévérité. Plusieurs scores sont associés aux vulnérabilités dans Cyberwatch :
- le score CVSS V4
- le score CVSS V3
- le score CVSS V2
- le score personnalisé
Le score utilisé et affiché par défaut dans Cyberwatch est le score CVSS V4, sauf s’il est absent auquel cas il s’agit du CVSS V3.
Il est possible de choisir le score à afficher et utiliser dans la partie Administration > Vulnérabilités.
Scores CVSS
Le score CVSS (Common Vulnerability Scoring System) est un système d’évaluation international permettant d’évaluer la criticité des vulnérabilités selon des critères objectifs et mesurables.
L’évaluation est constituée de trois métriques :
- le score de Base : représente les caractéristiques intrinsèques et fondamentales d’une vulnérabilité, indépendamment du contexte temporel et environnemental
- le score Temporel : représente les caractéristiques temporelles d’une vulnérabilité qui peuvent évoluer au cours du temps (mise à disposition de correctifs, présence d’exploits…)
- le score Environnemental : représente les caractéristiques d’une vulnérabilité en fonction de l’environnement (type d’actif ou utilisateur concerné par exemple) et des conséquences qui pourraient découler de l’exploitation de cette vulnérabilité
Ces métriques sont chacune constituées de plusieurs critères qui vont impacter le calcul du score CVSS. En l’absence de données permettant de définir les critères du score temporel et/ou du score environnemental, ces critères sont considérés « Non défini ». Un critère « Non défini » va impacter le score CVSS de la même manière que si le critère était défini au niveau le plus élevé.
Le site du FIRST met à disposition le calculateur officiel du score CVSS V3.1 utilisé par le NVD pour définir le score des vulnérabilités publiées.
CVSS V2
Le CVSS V2 représente la version 2 du score CVSS. Il était anciennement le score officiel de référence utilisé mondialement.
CVSS V3
Le CVSS V3 représente la version 3 du score CVSS. C’est le score officiel de référence actuellement reconnu et utilisé mondialement.
Il est devenu référence à la place du score CVSS V2 en décembre 2015. Cette nouvelle version du score CVSS apporte plusieurs changements dans le système de scoring, qui permettent notamment d’attribuer une note plus précise aux vulnérabilités appartenant au domaine des applications Web.
CVSS V4
Le CVSS V4 représente la version 4 du score CVSS.
Cette nouvelle version offre une fidélité améliorée dans l’évaluation des vulnérabilités, notamment une répartition plus granulaire des mesures de base pour offrir une compréhension et une évaluation nuancées des vulnérabilités. De plus, CVSS v4 a introduit une nouvelle nomenclature pour désigner les combinaisons de mesures de base, de menace et d’environnement ainsi que de nouvelles valeurs de mesures de base pour l’interaction utilisateur, qui sont classées comme passives ou actives.
Niveau/Maturité des exploits
La facilité d’utilisation et le niveau de tests des exploits vont généralement dépendre des sources qui recensent ces exploits. Ce terme est appelé Niveau de l'exploit
ou Maturité de l'exploit
dans Cyberwatch.
Ainsi, dans Cyberwatch :
- si aucun exploit n’est détecté, le niveau de l’exploit sera défini comme
Non disponible
- si un seul exploit est remonté par le NVD et/ou au moins un exploit est détecté sur GitHub, le niveau de l’exploit sera défini comme
Démonstration
- si plusieurs exploits sont remontés par le NVD et/ou au moins exploit est présent sur SecurityFocus ou Exploit-DB, le niveau de l’exploit sera défini comme
Fonctionnel
- si au moins un exploit est présent sur Metasploit, le niveau de l’exploit sera défini comme
Élevé
La maturité de l’exploit ainsi définie par Cyberwatch est utilisée pour modifier la valeur du champ « Exploit Code Maturity » du score CVSS V3 à la place de la valeur « Non défini » dans ce cas.
Cette valeur peut être redéfinie dans le menu d’édition d’une CVE.
Score personnalisé
Le score personnalisé offre aux utilisateurs la possibilité de redéfinir les métriques de base du score CVSS. Il est possible de redéfinir les huit critères suivants :
- Vecteur d’Accès
- Complexité d’Attaque
- Privilèges Requis
- Interaction Utilisateur
- Portée
- Confidentialité
- Intégrité
- Disponibilité
La modification de chacun de ces critères aura pour conséquence de mettre à jour le score afin de rester conforme aux formules de calcul du score CVSS V3 données par le FIRST. La valeur du score est également modifiable sans interaction avec ces critères.