Из-за низкой оценки CVSS пользователи могут проигнорировать опасные уязвимости.
Общая система оценки уязвимости (Common Vulnerability Scoring System, CVSS) широко используется для классификации уязвимостей по шкале критичности, однако в случае с промышленными системами автоматизации оценки нередко не соответствуют реальной степени опасности проблемы, что может повлечь за собой негативные последствия для предприятий, особенно если они определяют приоритетность патчей исключительно на основании баллов CVSS. Общая система оценки уязвимостей (CVSS) – открытая схема, которая позволяет обмениваться информацией об IT-уязвимостях. Применение CVSS для оценки уязвимостей закреплено в различных стандартах, в том числе в PCI DSS. Шкала представляет собой число (оценку) в интервале от 0 до 10, отражающее степень опасности — низкая (0,1 — 3,9), средняя (4 — 6,9), высокая (7 — 8,9) и критическая (9 — 10). Для оценки уязвимости текущая версия CVSS v3 использует три группы метрик: базовые метрики (характеристики уязвимости, которые не зависят от среды и не меняются со временем), временные метрики (характеристики уязвимости, меняющиеся со временем), контекстные метрики (характеристики уязвимости, зависящие от среды).
В рамках конференции ICS Cyber Security Conference, состоявшейся в минувшем месяце в Атланте, технический директор компании Radiflow Илан Барда (Ilan Barda) указал, что метрика CVSS изначально была разработана для IT-систем и не во всех случаях точно характеризует уязвимости АСУ ТП. С его мнением согласны и другие эксперты.
В частности, в беседе с журналистами SecurityWeek основатель компании Nozomi Networks Морено Карулльо (Moreno Carullo) отметил, что классификация CVSS должна расцениваться только как руководство.
Как полагает специалист Radiflow Йехонатан Кфир (Yehonatan Kfir), в случае АСУ ТП более подходящей будет контекстная метрика, которая чаще всего игнорируется. В то время как для IT-систем более важна конфиденциальность, в промышленных системах наиважнейшим фактором выступает доступность, поскольку любой сбой в производственном процессе может повлечь за собой серьезные физические и финансовые последствия.
Специалисты привели несколько случаев, когда уязвимость, получившая низкую оценку по шкале CVSS, представляла серьезную угрозу для промышленных сред. В частности, уязвимость CVE-2015-5374, эксплуатируемая в атаках с использованием вредоносного ПО Industroyer/Crashoverride для вывода из строя реле Siemens SIPROTEC, была оценена всего в 7,8 балла.
«Поскольку устройства SIPROTEC играют важную роль в средах производства электроэнергии, оценка в 7,8 балла не полностью отражает весь риск», — пояснил специалист CyberX Дэвид Этч (David Atch). По его словам, вводящая в заблуждение классификация CVSS может негативно сказаться на промышленных предприятиях, поскольку из-за низкой оценки пользователи могут проигнорировать опасные уязвимости.
Как полагают специалисты, система CVSS может применяться для оценки уязвимостей АСУ ТП при условии соответствующей адаптации шкалы. Их рекомендации включают фокусирование на контекстных метриках и оценке влияния уязвимости в контексте всей среды, а не только на определенное устройство или ПО, и использование CVSS наряду с другими методами оценки риска проблем.
