در ادامه معرفی CVSS، در این مقاله به معرفی بخشهای Temporal و Environmental میپردازیم. همانطور که در مقاله قبل گفته شد، گروهای Temporal و Environmental شدت آسیبپذیری تعیین شده را با اضافه کردن جزئیات در مورد نوع کسب و کار آسیبپذیر و زمان تغییر میدهند و درجه آسیبپذیری با تغییر متغیرهای گروههای Temporal و Environmental دقیقتر محاسبه میشود.
معیار Temporal وضعیت زمانی تکنیکهای اکسپلویت آسیبپذیری، دسترسی به کد اکسپلویت، وجود هرگونه بهروز رسانی یا راهحلی برای حل مشکل آسیبپذیری و یا درجه اهمیت باگ را بررسی میکند.
این معیار احتمال حمله به آسیبپذیری براساس وضعیت زمانی تکنیکهای اکسپلویت و کدهای موجود اکسپلویت آسیبپذیری در سطح وسیع را بررسی میکند. کدهای عمومی و روشهای ساده برای اکسپلویت، احتمال حمله به آسیبپذیری را افزایش میدهند. درنتیجه هکرهای غیرحرفهای وارد عمل میشوند و در این حالت امتیاز آسیبپذیری افزایش مییابد. امتیاز دهی به آسیبپذیری در این معیار به شکل زیر است:
زمانی که آسیبپذیری عمومی میشود، هنوز باگ در نرمافزار هدف، رفع و بهروز رسانی منتشر نشده است. اصلاحات و محدویتهای سریع قبل از انتشار بهروز رسانی ارائه میشوند.
این معیار اعتبار و جزئیات فنی آسیبپذیری را بررسی میکند .در بعضی از موارد آسیبپذیری بدون افشای جزئیات منتشر میشود. برای مثال، اثر نامطلوب باگ شناسایی میشود، ولی علت اصلی وجود باگ ناشناخته میماند. در بعضی از حالتها، متخصصان امنیت از طریق تحقیقات وجود آسیبپذیری را انکار میکنند ولی این تحقیقات قطعی نیستند. در نهایت آسیبپذیری و اثرات آن توسط صاحب نرمافزار یا وندور ممکن است تائید شوند. زمانی یک آسیبپذیری تائید میشود که تمام مدارک و شواهد امکان وجود آسیبپذیری را تائید کنند. همچنین این معیار سطح دسترسی تکنیکی آسیبپذیری به مهاجمین را نشان میدهد.
این معیارها تحلیلگر امنیتی را قادر به امتیازدهی آسیبپذیری از روش CVSS میکند. این امتیازدهی براساس اثر آسیبپذیری بر روی دارایی سازمان و کاربران، کنترلهای امنیتی تکمیلی یا جایگزین، محرمانگی(Confidentiality)، یکپارچگی(Integrity) و دردسترس(Availability) بودن است. این معیار بر پایه وکتورهای Base، جایگاه سیستمهای هدف در زیرساخت هر سازمان را در نظر میگیرد.
این معیار امتیاز آسیبپذیری را برپایه اثر باگ بر داراییهای سازمان و کاربران، محرمانگی، یکپارچگی و دردسترس بودن سیستم هدف تعیین میکند. اگر برای سازمان فرایندهای تجاری اهمیت بیشتر داشته باشند، تحلیلگر امنیتی امتیاز بالاتری به دلیل اثر روی محرمانگی و یکپارچگی سیستم قائل میشود. هر Security Requirements دارای سه سطح امتیاز است: Low, Medium and High
اثر امتیاز Environmental با اثر تغییر معیارهای Base تعیین میشود. این معیارها امتیاز Environmental را با تنظیم محرمانگی، یکپارچگی و دردسترس بودن تعیین میکنند. برای مثال، اثر Modified Confidentiality (MC) افزایش پیدا میکند، اگر وزن اثر Confidentiality Requirement (CR) افزایش پیدا کند. برهمین اساس، اثر معیار Modified Confidentiality کاهش پیدا میکند، اگر اثر Confidentiality Requirement کم باشد. اثر Modified Confidentiality بدون تاثیر است اگر وزن Confidentiality Requirement متوسط باشد. این فرایند روی Integrity و Availability requirements نیز انجام میشود.
توجه داشته باشید Confidentiality Requirement روی امتیاز Environmental اثر ندارد اگر اثر confidentiality در Base مقدار None انتخاب شده باشد.
این معیار به تحلیلگر امنیتی امکان تغییر امتیاز Base با استفاده از ویژگیهای محیط کاربری را میدهد و روی اکسپلویت آسیبپذیری تأثیر دارد. هدف و تأثیر آسیبپذیری را میتوان از طریق Environmental Score تغییر داد.
معیارهای Base تأثیر کاملی روی امتیاز Environmental دارد و با تغییر متغییرهای Environmental امتیاز Base تغییر میکند. معیارهای Environmental با مقادیر معیارهای Base برابر است. مقدار Not Defined پیشفرض است و همان مقدار Base را برمیگرداند. هدف این معیار تعریف محدودیت در شرایط سیستم آسیبپذیر است و در بعضی از شرایط با استفاده از این معیار امتیاز Base افزایش پیدا میکند. برای مثال، در تنظیمات پیشفرض پایه، دسترسی به بعضی از توابع نیازمند سطح دسترسی بالا است. اما در تحلیل محیطی نیازمند افزایش سطح دسترسی نباشد. این تحلیل الزام افزایش سطح دسترسی را به تغییر سطح دسترسی به None تغییر میدهد که موجب افزایش امتیاز کلی آسیبپذیری میشود. این پارامترها در ادامه آورده شده است که بر روی ارزش Base بر اساس شرایط کسب و کار تاثیر گذار هستند.