Chuẩn bảo mật và điểm số

CyStack VulnScan bổ sung thông tin cho phát hiện bằng các mã định danh lỗ hổng, nhóm điểm yếu, hệ thống chấm điểm, tín hiệu khai thác thực tế và mapping bảo mật ứng dụng. Các trường này giúp đội bảo mật, đội phát triển, đội hạ tầng và quản lý dùng cùng một ngôn ngữ khi phân loại, giao việc, khắc phục và báo cáo lỗ hổng. Không nên dùng một trường riêng lẻ để quyết định toàn bộ mức ưu tiên. Thông thường, cần kết hợp mức độ nghiêm trọng kỹ thuật, khả năng bị khai thác, bằng chứng khai thác thực tế, mức độ lộ ra ngoài, bối cảnh nghiệp vụ, độ tin cậy và chi phí khắc phục.

​

Tóm tắt nhanh

​

Mức độ nghiêm trọng

Mức độ nghiêm trọng là cách VulnScan phân loại tác động kỹ thuật và khả năng khai thác của phát hiện. Trường này giúp người dùng lọc và sắp xếp phát hiện nhanh. Mức độ nghiêm trọng không đồng nghĩa với rủi ro nghiệp vụ. Một lỗi High trên cổng khách hàng public có thể khẩn cấp hơn một lỗi Critical trên máy lab bị cô lập.

​

CVE

CVE là viết tắt của Common Vulnerabilities and Exposures. Đây là mã định danh phổ biến toàn cầu cho các lỗ hổng bảo mật đã được công bố công khai. CVE giúp các bên cùng gọi đúng một lỗ hổng bằng một tên ổn định. Ví dụ advisory của vendor, ghi chú bản vá và phát hiện của VulnScan đều có thể cùng trỏ tới mã CVE-YYYY-NNNN. Cách đọc:

• CVE định danh một lỗ hổng đã công bố, không phải nhóm điểm yếu.
• Có CVE không tự động chứng minh hệ thống cụ thể của bạn khai thác được.
• Một CVE có thể ảnh hưởng tới nhiều sản phẩm, phiên bản, nền tảng hoặc cách triển khai khác nhau.
• Một CVE có thể được công bố trước khi điểm số, bản vá hoặc dữ liệu khai thác hoàn thiện.

VulnScan dùng CVE để:

• Đối chiếu sản phẩm/phiên bản phát hiện được với lỗ hổng đã biết khi có đủ bằng chứng cụ thể.
• Bổ sung tham chiếu, điểm nghiêm trọng, tín hiệu khai thác và ngữ cảnh khắc phục khi có.
• Hạn chế các kết quả quá chung chung nếu bằng chứng sản phẩm/phiên bản chưa đủ mạnh.

​

CWE

CWE là viết tắt của Common Weakness Enumeration. CWE phân loại loại điểm yếu gốc có thể dẫn tới lỗ hổng. CWE nói về nguyên nhân hoặc nhóm điểm yếu. Ví dụ SQL injection thường được mapping tới CWE-89; path traversal thường được mapping tới CWE-22. Cách đọc:

• CWE mô tả loại lỗi thiết kế, kiến trúc hoặc triển khai.
• CWE không phải một lỗ hổng cụ thể.
• Nhiều CVE khác nhau có thể cùng thuộc một CWE.
• Một phát hiện không có CVE vẫn có thể có CWE, vì đó có thể là lỗi ứng dụng riêng chứ không phải lỗ hổng đã biết của sản phẩm phổ biến.

VulnScan dùng CWE để:

• Nhóm phát hiện theo loại điểm yếu.
• Giúp đội kỹ thuật hiểu vì sao lỗi tồn tại.
• Hỗ trợ mapping OWASP Top 10 và báo cáo.
• Giúp tổ chức nhận diện các vấn đề phát triển an toàn lặp lại.

​

CVSS

CVSS là viết tắt của Common Vulnerability Scoring System. Đây là hệ thống chuẩn để mô tả và chấm điểm mức độ nghiêm trọng kỹ thuật của lỗ hổng, thường theo thang 0.0 đến 10.0. Cách đọc: CVSS có thể đi kèm vector như CVSS:3.1/AV:N/AC:L/.... Vector giải thích vì sao điểm đó được tính, bao gồm khả năng truy cập qua mạng, độ phức tạp tấn công, quyền cần có, tương tác người dùng và tác động. VulnScan dùng CVSS để:

• Hiển thị điểm CVSS khi dữ liệu tình báo lỗ hổng có sẵn.
• Dùng CVSS như một tín hiệu trong mức độ nghiêm trọng và ưu tiên rủi ro.
• Tách CVSS khỏi EPSS và KEV vì tác động kỹ thuật khác với khả năng bị khai thác trong thực tế.

Dễ hiểu nhầm:

• CVSS không phải xác suất bị khai thác.
• CVSS không tự động phản ánh bối cảnh nghiệp vụ riêng của tổ chức nếu không có điểm môi trường.
• Một lỗ hổng CVSS thấp hơn vẫn có thể khẩn cấp nếu đang bị khai thác, lộ Internet hoặc dễ kết hợp với lỗi khác.

​

EPSS

EPSS là viết tắt của Exploit Prediction Scoring System. EPSS ước tính xác suất hoạt động khai thác một lỗ hổng sẽ được quan sát trong thực tế trong 30 ngày tới. Cách đọc:

• Điểm EPSS thường hiển thị từ 0 đến 1 hoặc dạng phần trăm.
• Điểm càng cao nghĩa là khả năng bị khai thác trong thực tế càng lớn.
• Percentile cho biết CVE này xếp cao hơn bao nhiêu so với các CVE khác đã được chấm.
• EPSS thay đổi theo thời gian khi tín hiệu khai thác và dữ liệu lỗ hổng thay đổi.

VulnScan dùng EPSS để:

• Phân biệt lỗi “rất nghiêm trọng nhưng hiếm bị khai thác” với lỗi “có khả năng bị khai thác sớm”.
• Tăng mức ưu tiên khi phát hiện vừa có tác động đáng kể vừa có xác suất khai thác cao.
• Hỗ trợ sắp xếp khắc phục khi đội vận hành không thể sửa tất cả cùng lúc.

Dễ hiểu nhầm:

• EPSS không đo tác động kỹ thuật.
• EPSS không biết tài sản cụ thể của bạn có public hay quan trọng hay không.
• EPSS bổ sung cho CVSS, không thay thế CVSS.

​

CISA KEV

CISA KEV là Known Exploited Vulnerabilities Catalog do CISA duy trì. Một CVE xuất hiện trong KEV khi có bằng chứng rằng lỗ hổng đó đã bị khai thác. Đây là một trong những tín hiệu mạnh nhất để xử lý khẩn cấp, đặc biệt khi tài sản bị ảnh hưởng lộ ra ngoài hoặc quan trọng. VulnScan dùng CISA KEV để:

• Đánh dấu phát hiện có CVE nằm trong danh mục KEV.
• Dùng KEV như một tín hiệu ưu tiên trong điểm rủi ro.
• Giúp đội bảo mật leo thang các lỗ hổng đã được attacker sử dụng trong thực tế.

Dễ hiểu nhầm:

• Không nằm trong KEV không có nghĩa là an toàn.
• KEV phản ánh bằng chứng khai thác đã biết, không bao phủ mọi khả năng khai thác.
• KEV cần được kết hợp với mức độ lộ ra ngoài, độ quan trọng tài sản, kiểm soát bù trừ và khả năng vá.

​

OWASP Top 10

OWASP Top 10 là tài liệu nhận thức bảo mật ứng dụng web được sử dụng rộng rãi. Tài liệu này nhóm các rủi ro ứng dụng web phổ biến và tác động cao thành 10 nhóm lớn. Ví dụ các nhóm rủi ro gồm broken access control, cryptographic failures, injection, security misconfiguration, vulnerable components, authentication failures và SSRF. VulnScan dùng OWASP Top 10 để:

• Mapping phát hiện tới nhóm OWASP Top 10 phù hợp khi có đủ bằng chứng.
• Giúp đội bảo mật trao đổi rủi ro ứng dụng web với đội phát triển và quản lý.
• Hỗ trợ báo cáo cấp chương trình, dashboard và phân tích xu hướng.

Dễ hiểu nhầm:

• OWASP Top 10 không phải danh sách đầy đủ mọi lỗ hổng.
• Đây là mô hình phân nhóm rủi ro, không phải tên bài kiểm tra cụ thể.
• Một phát hiện vẫn có thể quan trọng dù không mapping gọn vào một nhóm OWASP Top 10.

​

OWASP WSTG

OWASP WSTG là Web Security Testing Guide. Đây là phương pháp và tài liệu tham chiếu để kiểm thử các kiểm soát bảo mật của ứng dụng web. Mapping WSTG giúp analyst hiểu phát hiện liên quan tới vùng kiểm thử nào, ví dụ input validation, authentication testing, session management, authorization testing, configuration testing hoặc business-logic testing. VulnScan dùng OWASP WSTG để:

• Bổ sung tham chiếu WSTG khi phát hiện khớp với vùng kiểm thử đã biết.
• Giúp analyst xác minh thủ công khi cần.
• Giúp tổ chức liên kết kết quả quét tự động với chương trình kiểm thử bảo mật.

Dễ hiểu nhầm:

• WSTG không phải điểm nghiêm trọng.
• Có mapping WSTG không có nghĩa VulnScan đã chạy mọi kiểm thử thủ công trong guide.
• Đây là tham chiếu giúp giải thích và tái hiện hướng kiểm thử.

​

Cách ưu tiên phát hiện

Nên kết hợp các tín hiệu:

1. Bắt đầu từ Critical và High.
2. Leo thang các phát hiện có trong CISA KEV.
3. Ưu tiên EPSS cao khi tài sản bị ảnh hưởng lộ ra ngoài.
4. Dùng CVSS để so sánh mức độ kỹ thuật giữa các sản phẩm.
5. Dùng CWE và OWASP để giao đúng đội kỹ thuật và nhóm nguyên nhân.
6. Dùng WSTG để xác minh thủ công hoặc kiểm thử sâu hơn.
7. Xác nhận thêm tác động nghiệp vụ, mức độ lộ ra ngoài, yêu cầu xác thực và kiểm soát bù trừ.

​

Tham chiếu chính thức

• CVE Program
• MITRE CWE
• FIRST CVSS v4.0
• FIRST EPSS Model
• CISA Known Exploited Vulnerabilities Catalog
• OWASP Top 10
• OWASP Web Security Testing Guide