Вопрос или проблема
NIST SP 800-33 2.0.1 утверждает, что “доступность” в триаде CIA защищает от намеренных или случайных попыток:
- выполнить несанкционированное удаление данных или
- вызвать отказ в обслуживании или данных
Это довольно четко показывает, что возможность удаления данных действительно изменяет доступность с точки зрения безопасности в общем. Однако спецификация CVSS v2 гласит:
Этот показатель измеряет влияние на доступность успешной эксплуатации уязвимости. Доступность относится к доступности информационных ресурсов. Атаки, которые потребляют сетевую пропускную способность, процессорные циклы или дисковое пространство, все влияют на доступность системы.
Все приведенные примеры обсуждают доступность услуги, а не доступность данных. Я знаю, что CVSS v3 проясняет этот вопрос, четко указывая:
… То есть, показатель доступности касается производительности и работы самой услуги — а не доступности данных.
Когда вы оцениваете уязвимость, которая предоставляет возможность удаления данных с помощью CVSS v2, учитываете ли вы это как влияние на доступность? Безопасно ли предположить, что это уточнение можно перенести на v2?
Это довольно интересный вопрос и аспект, с которым я сам сталкиваюсь. “Если целостность нарушена таким образом, что я могу создать новых пользователей, повлияет ли это на другие два свойства?”, например.
Я думаю, что ответ, возможно, хотя это немного противоречит интуиции иметь три свойства, когда они часто связаны.
В вашем случае есть пример в Руководстве пользователя CVSS 3.1, которое утверждает, что потеря конфиденциальности пароля root действительно влияет на целостность и доступность системы (если только аналитик не предполагает, что учетные данные действительно могут быть использованы).
В уязвимости 2 локальный пользователь с низкими привилегиями может отправить тривиальный, составленный запрос в операционную систему, который вызывает раскрытие открытого пароля учетной записи root (администратора). Аналитик знает из показателей подоценки Exploitability и описания уязвимости, что атакующий имеет доступ к операционной системе и может войти в систему как локальный атакающий с низкими привилегиями. Получение доступа к этому паролю представляет собой прямую и серьезную утрату Конфиденциальности, Целостности, и Доступности, потому что аналитик может разумно выполнять команды от имени учетной записи root / администратора (предположим, что атакующий мог выйти из своей учетной записи и войти снова как root):
Базовый балл: 7.8 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
В примере говорится о выполнении команд (неясно, ограничивается ли это только командами завершения работы или также командами удаления данных, возможно, это была бы граница для оценки влияния: если вы можете удалить файлы данных, то целостность нарушена, если вы можете удалить системные файлы, то доступность затрагивается). И да, это нарушает классическое (NIST, GDPR) определение доступности, но CVSS, похоже, разумно конкретизирует этот пункт.
Ответ или решение
Вопрос о том, влияет ли возможность удаления данных на доступность в рамках системы CVSS v2, действительно заслуживает внимания. Согласно NIST SP 800-33, доступность как часть триады CIA (Конфиденциальность, Целостность и Доступность) защищает от несанкционированных и случайных попыток удаления данных, а также от возникновения ситуаций, когда доступ к данным может быть затруднен или невозможен.
Тем не менее, в спецификации CVSS v2 указано, что метрика доступности измеряет влияние на доступность системы в случае успешной эксплуатации уязвимости. При этом под доступностью подразумевается доступность информационных ресурсов, и примеры, приведенные в CVSS v2, касаются в основном доступности сервиса и ресурсов системы, а не самих данных. Это важно, так как это различие может вводить в заблуждение при оценке воздействия уязвимости.
Например, в CVSS v3, как вы уже упомянули, ясно указывается, что метрика доступности затрагивает работу самого сервиса, а не доступность данных. Это добавление помогает лучше понять контекст и однозначно определить, как следует рассматривать последствия в случае удаления данных.
Таким образом, если уязвимость позволяет удалять данные, то это действительно может затрагивать целостность и доступность, однако в рамках CVSS v2 это не отражается должным образом. Основное внимание в CVSS v2 уделяется доступности системы в целом, а не доступности конкретных данных.
Отвечая на ваш вопрос: при оценке уязвимости, которая предоставляет возможность удалять данные, не следует автоматически учитывать это как влияние на доступность в рамках CVSS v2. Это не соответствует текущим определениям и метрикам, приведенным в документации. Интуитивно кажется, что возможность удаления данных должна влиять на доступность, но в контексте CVSS v2 такая ссылка не сделана.
Стало быть, лучшим подходом будет придерживаться буквального понимания CVSS v2 и не относить удаление данных к влиянию на доступность, пока сами данные не касаются доступности сервиса или его ресурсов. Бэкпортирование разъяснений из CVSS v3 в CVSS v2 может помочь, но формально это не поддерживается в спецификации v2.