ویرگول
ورودثبت نام
شایان کیان پور
شایان کیان پورمقالات در حوزه امنیت، DevOps و بازیسازی بصورت مرتب در این صفحه آپلود میشود ، این مقالات یا نوشته من هست یا بهترین اطلاعات جمع آوری شده . knpshayan@gmail.com
شایان کیان پور
شایان کیان پور
خواندن ۴ دقیقه·۱ روز پیش

مفهوم CVSS چیست؟ آشنایی با سیستم امتیازدهی آسیب‌پذیری‌های امنیتی

مقدمه

فرض کنید دو آسیب‌پذیری مختلف در سرور شما شناسایی شده است.

  • اولی باعث افشای نسخه نرم‌افزار می‌شود.

  • دومی به مهاجم اجازه می‌دهد بدون احراز هویت کنترل کامل سرور را در اختیار بگیرد.

واضح است که این دو آسیب‌پذیری اهمیت یکسانی ندارند.

اما چگونه می‌توان شدت آن‌ها را به‌صورت استاندارد اندازه‌گیری کرد؟

برای پاسخ به این سؤال، استانداردی به نام CVSS (Common Vulnerability Scoring System) ایجاد شده است.

امروزه تقریباً تمام شرکت‌های امنیتی، ابزارهای اسکن آسیب‌پذیری و سامانه‌های مدیریت امنیت از CVSS برای تعیین شدت فنی آسیب‌پذیری‌ها استفاده می‌کنند.

در این مقاله با مفهوم CVSS، نحوه امتیازدهی، سطوح شدت، مثال‌های واقعی و تفاوت آن با CVE و Risk آشنا خواهیم شد.


CVSS چیست؟

CVSS مخفف عبارت Common Vulnerability Scoring System است.

CVSS یک استاندارد بین‌المللی برای اندازه‌گیری شدت فنی آسیب‌پذیری‌ها است.

به بیان ساده:

CVSS مشخص می‌کند یک آسیب‌پذیری از نظر فنی چقدر خطرناک است.


چرا CVSS ایجاد شد؟

فرض کنید روی یک سرور، ۱۵۰ آسیب‌پذیری پیدا شده است.

آیا باید همه آن‌ها را به یک اندازه جدی گرفت؟

خیر.

برخی از آن‌ها:

  • فقط باعث افشای اطلاعات می‌شوند.

  • برخی نیاز به دسترسی محلی دارند.

  • بعضی تنها در شرایط خاص قابل سوءاستفاده هستند.

  • برخی دیگر امکان اجرای کد از راه دور بدون احراز هویت را فراهم می‌کنند.

CVSS به ما کمک می‌کند این آسیب‌پذیری‌ها را بر اساس شدت فنی اولویت‌بندی کنیم.


محدوده امتیاز CVSS

امتیاز CVSS بین ۰ تا ۱۰ است.

هرچه عدد بزرگ‌تر باشد، شدت آسیب‌پذیری بیشتر است.

امتیازسطح شدت0.0None0.1 تا 3.9Low4.0 تا 6.9Medium7.0 تا 8.9High9.0 تا 10.0Critical


مثال

فرض کنید گزارش اسکن آسیب‌پذیری چنین نتیجه‌ای را نمایش می‌دهد:

CVECVSS

CVE-2026-111112.8

CVE-2026-222225.6

CVE-2026-333338.2

CVE-2026-444449.8

در این حالت:

  • ابتدا باید آسیب‌پذیری با امتیاز ۹.۸ بررسی و اصلاح شود.

  • سپس آسیب‌پذیری‌های High.

  • در نهایت آسیب‌پذیری‌های Medium و Low.


CVSS چگونه محاسبه می‌شود؟

CVSS تنها یک عدد تصادفی نیست.

این امتیاز بر اساس عوامل مختلفی محاسبه می‌شود.

از جمله:

  • امکان حمله از راه دور

  • نیاز یا عدم نیاز به احراز هویت

  • پیچیدگی حمله

  • میزان دسترسی مهاجم

  • تأثیر بر محرمانگی (Confidentiality)

  • تأثیر بر یکپارچگی (Integrity)

  • تأثیر بر دسترس‌پذیری (Availability)

به همین دلیل، دو آسیب‌پذیری مشابه ممکن است امتیازهای متفاوتی داشته باشند.


مثال عملی

فرض کنید دو آسیب‌پذیری وجود دارد.

آسیب‌پذیری اول

  • نیاز به دسترسی فیزیکی دارد.

  • فقط باعث مشاهده نسخه نرم‌افزار می‌شود.

امتیاز تقریبی:

CVSS 2.1

آسیب‌پذیری دوم

  • از اینترنت قابل سوءاستفاده است.

  • نیازی به احراز هویت ندارد.

  • امکان اجرای کد از راه دور را فراهم می‌کند.

امتیاز تقریبی:

CVSS 9.8

مشخص است که اولویت رفع آسیب‌پذیری دوم بسیار بالاتر است.


CVSS در لینوکس

فرض کنید نسخه قدیمی OpenSSH روی سرور نصب شده است.

اگر گزارش امنیتی نشان دهد:

CVSS 9.3

یعنی این آسیب‌پذیری از نظر فنی بسیار خطرناک است و باید هرچه سریع‌تر وصله امنیتی نصب شود.


CVSS در Windows Server

مایکروسافت هر ماه ده‌ها آسیب‌پذیری را اصلاح می‌کند.

اگر یک CVE دارای امتیاز:

CVSS 9.8

باشد، معمولاً به‌عنوان یک آسیب‌پذیری بحرانی (Critical) شناخته می‌شود و باید در اولویت نصب وصله قرار گیرد.


CVSS در وب‌سایت

فرض کنید افزونه‌ای در WordPress دارای آسیب‌پذیری Remote Code Execution باشد.

اگر امتیاز آن:

CVSS 9.9

باشد، یعنی:

  • حمله آسان است.

  • خسارت بالقوه زیاد است.

  • احتمال سوءاستفاده بالاست.

در این شرایط، به‌روزرسانی افزونه باید در اولویت قرار گیرد.


آیا CVSS به معنای Risk است؟

خیر.

این یکی از رایج‌ترین سوءبرداشت‌ها در امنیت سایبری است.

CVSS فقط شدت فنی آسیب‌پذیری را بیان می‌کند.

اما Risk به شرایط واقعی سازمان بستگی دارد.


یک مثال

فرض کنید یک آسیب‌پذیری با امتیاز:

CVSS 9.8

در سرویسی وجود دارد که:

  • غیرفعال است.

  • از اینترنت قابل دسترسی نیست.

  • پشت فایروال قرار دارد.

در این حالت، اگرچه CVSS بسیار بالاست، اما ریسک واقعی ممکن است پایین باشد.

برعکس، یک آسیب‌پذیری با امتیاز متوسط روی سرور اصلی سازمان که در اینترنت در دسترس است، می‌تواند ریسک بسیار بیشتری ایجاد کند.



بهترین روش مدیریت آسیب‌پذیری‌ها

برای مدیریت مؤثر آسیب‌پذیری‌ها:

  • دارایی‌های فناوری اطلاعات را شناسایی کنید.

  • به‌طور منظم اسکن آسیب‌پذیری انجام دهید.

  • CVEهای جدید را بررسی کنید.

  • CVSS را برای اولویت‌بندی در نظر بگیرید.

  • ریسک واقعی سازمان را ارزیابی کنید.

  • وصله‌های امنیتی را نصب کنید.

  • دوباره اسکن انجام دهید تا از رفع مشکل مطمئن شوید.


ارتباط CVSS با سایر مفاهیم امنیت

در این مجموعه آموزشی، زنجیره مفاهیم به شکل زیر تکمیل می‌شود:

  • Attack Surface مسیرهای ورود را مشخص می‌کند.

  • Threat عامل بالقوه حمله است.

  • Vulnerability ضعف موجود در سیستم است.

  • CVE شناسه آن آسیب‌پذیری است.

  • CVSS شدت فنی آن آسیب‌پذیری را مشخص می‌کند.

  • Exploit از آسیب‌پذیری سوءاستفاده می‌کند.

  • Risk احتمال و پیامد موفقیت حمله را برای سازمان ارزیابی می‌کند.


جمع‌بندی

CVSS یک استاندارد جهانی برای اندازه‌گیری شدت فنی آسیب‌پذیری‌ها است. این سیستم با اختصاص امتیازی بین ۰ تا ۱۰، به مدیران سیستم و کارشناسان امنیت کمک می‌کند تا آسیب‌پذیری‌ها را بر اساس اهمیت فنی اولویت‌بندی کنند.

با این حال، تصمیم‌گیری امنیتی نباید فقط بر اساس CVSS انجام شود. شرایط واقعی زیرساخت، ارزش دارایی‌ها، میزان دسترسی مهاجمان و کنترل‌های امنیتی موجود نیز باید در ارزیابی نهایی در نظر گرفته شوند. به همین دلیل، CVSS ابزاری برای اولویت‌بندی فنی است، در حالی که Risk تصویر کامل‌تری از وضعیت امنیتی سازمان ارائه می‌دهد.

کیان پور

احراز هویتامنیتسرورهکنفوذ
۰
۰
شایان کیان پور
شایان کیان پور
مقالات در حوزه امنیت، DevOps و بازیسازی بصورت مرتب در این صفحه آپلود میشود ، این مقالات یا نوشته من هست یا بهترین اطلاعات جمع آوری شده . knpshayan@gmail.com
شاید از این پست‌ها خوشتان بیاید