Tenable的Plugins因著CVSS風險等級計算更動

2020年8月20日

從歷史上看，Tenable產品根據相關Plugins中的風險因素來設定的風險嚴重等級。當一個plugin與一個或多個CVE相關連風險因素是基於使用CVSSv2得分最高的CVE確認的。

自2016年以來，Tenable在plugins中除了提供CVSSv2之外還提供了CVSSv3分數。

套用在Tenable Scanner範圍:

Nessus;

Nessus Network Monitor 5.6.1;

Tenable.io Web Application Scanning

訊息內容:

CVSSv3風險評量於2015年首次面世，現在已經成為業界標準。目前已開始調整Nessus，NNM，LCE和WAS plugins，使其嚴重程度基於CVSSv3評分而不是CVSSv2。

由於這些更改是在scanner plugins執行的，因此使用這些plugins進行的後續掃描結果將在Tenable.io和Tenable.sc中呈現更新的風險嚴重等級指標。

2016年前出版的CVE通常CVSSv3指標是不相關的，在只有CVSSv2指標可用的情況下，這些plugins將繼續依據CVSSv2得分來呈現風險嚴重等級。

CVSSv2 vs CVSSv3嚴重性：

* CVSSv2沒有正式的嚴重等級。成立將CVSSv2基本得分10.0定義為嚴重

執行過程：這些更改將在受影響的plugins的批量更新中進行。

Nessus :

Nessus Network Monitor（NNM）：

這一變化的主要影響將在基於嚴重的儀表板，客戶可以期望看到高和重要程度的調查結果上升的趨勢中可以看出。更改推出後，此後的任何後續掃描都會發生此改變。

潛在的商業方面的考慮：

Tenable建議在發生此更改時管理有關SLA的期望。必要時，仍然可以利用plugins結果中的CVSSv2分數並將其反應到上面列出的CVSSv2嚴重性。這些影響將僅限於我們發現中的嚴重性值驅動的工作流程。

產品影響：

Nessus:

發生此更改後的新評估將反映CVSSv3得出的嚴重性。

Tenable.ot:

Tenable.ot中顯示的CVE或漏洞數據沒有預期的影響。導入Tenable.sc的數據將受到如下影響。

在發生此更改之前完成的評估結果將反應原始的CVSSv2嚴重性。新的評估結果將反映CVSSv3得出的嚴重性。累積視圖將反映上次評估時的嚴重性；“摘要”視圖反應的是該數據視圖中可用的最高嚴重性。重鑄規則將優先於plugins嚴重性的任何可更改。

開始影響時間：

首次發布的目標時間是2021年1月11日。

是否可以選擇退出這些更改：

不可以。因為這些更改是直接在plugins中進行的，並且將由plugins供稿發布，所以一旦發布更改，就無法退出或還原。

CVSS 3.1呢？

儘管CVSS 3.1是當前標準，但矢量和得分計算均沒有變化。 CVSS 3.1提供了有關如何選擇某些向量的改進指南。基於此，我們的CVSS 3.1插件無需更改。

CVSSv2和CVSSv3之間的差異

CVSSv3的作者致力於引入評分變化，以更準確地反映野外遇到的漏洞的現實情況。

三個主要指標組– 基本，臨時和環境各保持相同，但基本組和環境組內都有變化。

在“基本”組中，進行了一些更改：

機密性，完整性和可用性度量標準均已更改為具有無，低或高的評分參數。

在“環境”小組中，最大的變化是第2版中的環境指標完全被“修改後的基本評分”所取代。本質上，組織可以修改每個基本指標，以反映其狀況和環境與其他狀況之間的差異。

創泓科技股份有限公司
TEL：(02)2658-3077
FAX：(02)2658-3097
ADD：台北市內湖區洲子街77號10樓

產品部門代表號：206
業務部門代表號：213
工程部門代表號：810