本页介绍了 PCI 合规以及与漏洞相关的评分。
Nexpose 能够为其在扫描中发现的每个资产和漏洞计算风险评分。基于利用漏洞的影响和可能性,这些评分指出了漏洞可能给网络及业务安全带来的潜在危险。
Nexpose 中存在两种可用的风险评分模式:
时间模式
此模式着重强调知晓存在漏洞的时间长度以及风险的性质。较旧的漏洞更容易被利用,因为攻击者了解它们的时间更长。时间风险模式是关于下列因素的数学计算:
评分以较高的整数值表示,最高可达六位数。没有"最高"数值。这些数值彼此相关。
此评分模式是长期追踪与漏洞相关的风险的最有效方式。此外,它也是创建新部署的理想选择,因为它重点强调的时间和严重性有助于您更好地优先处理修复项目。
下方公式可用于计算时间评分模式:
此公式可被分解为如下组成部分:
加权模式
加权风险模式主要以资产数据和漏洞类型为依据,它重点强调了下列因素:
加权风险评分与漏洞数量成比例。资产上较高数量的漏洞意味着较高的风险评分。评分通常以带有小数的较低数值(个位数)表示。
请参见使用风险策略分析威胁。
风险评分是您优先处理漏洞修复项目的重要工具。另一个重要的度量指标是 CVSS 分数。请参见标题为“什么是 CVSS 分数?”的常见问题。
如果我运行一次 PCI 扫描,然后,生成一份 PCI 报告显示我的环境合规 ,那么,这是否意味着我的环境为 PCI 合规?
如果您不是由支付卡行业 (PCI) 认证的经核准扫描供应商 (ASV),那么,此问题的回答为否。仅限经认证的 ASV 才可以执行由 PCI 准许的合规审计。不过,在准备合规审计时或者作为例行安全维护操作而运行 PCI 扫描和报告的做法是一种良好的实践方法。
PCI 审计结果"通过"或"失败"的依据是什么?
ASV 将第 2 版通用漏洞评分系统 (CVSS) 针对每个漏洞计算的评分作为审计记过的依据。评分范围为 0 至 10.0,评分等于或高于 4.0 的结果表示不符合 PCI 标准。
任何至少含有一项 CVSS 分数等于或高于 4.0 的漏洞的资产均被视为不合规。如果至少一项资产不合规,那么,整个企业将被视为不合规。
此外,无论 CVSS 分数为多少,任何将资产暴露给 XSS 或 SQL 注入的漏洞都不符合 PCI 标准。
什么是 CVSS 分数?
Nexpose 会根据各种因素对每个已发现漏洞进行评分,包括第 2 版通用漏洞评分系统 (CVSSv2)。CVSS 分数是基础指标的计算,能够反映一个漏洞会对网络安全造成多大风险。基础指标包括访问(从本地到远程)、访问复杂度、所需认证、对数据保密性的影响、对数据完整性的影响,以及对数据可用性的影响。
CVSS 系统对所有漏洞按照从 0.0 至 10.0 的级别进行评分,其中,10.0 表示最高安全风险。高于或等于 4.0 的分数表示不符合 PCI 标准。
在 CVSS 系统中获得 0.0 至 3.9 的分数的低危漏洞仅可能被本地利用且需要认证。成功的攻击者很难或无法访问不受限制的信息、无法破坏或损坏信息且无法制造任何系统中断。示例包括默认或可推测的 SNMP 社区名称以及 OpenSSL PRNG 内部状态发现漏洞。
在 CVSS 系统中获得 4.0 至 6.9 的分数的中危漏洞可被拥有中级入侵经验者利用,且不一定需要认证。成功的攻击者可以部分访问受限制的信息、可以破坏部分信息且可以禁用网络中的个体目标系统。示例包括允许匿名 FTP 可写入和弱 LAN 管理器散列。
在 CVSS 系统中获得 7.0 至 10.0 的分数的高危漏洞可被轻易访问利用,且几乎不需要认证。成功的攻击者可以访问机密信息、可以破坏或删除数据且可以制造系统中断。示例包括匿名用户可以获取 Windows 密码政策。
如果 CVSS 分数是 PCI 审计结果的框架,为什么我能够在自己的报告中看到"PCI"评分?
Nexpose 含有遗留 PCI 评分系统,这是对漏洞进行评分和优先处理的另一种方式。本系统按照从 1 到 5 的严重性等级划分漏洞。任何等级高于 2 的漏洞都不符合 PCI 标准。