временная уязвимость что это
Почему уязвимость – это огромное преимущество, которое предлагает нам жизнь
Когда в последний раз вы почувствовали, что излишняя уязвимость – это проклятие всей жизни?
Уязвимость. Для большинства из нас это слово означает быть наивным, доверчивым, чуть ли не ребёнком при определённых обстоятельствах. Но это ещё не всё. Хуже всего, что при этом мы чувствуем себя чудовищно слабыми и беспомощными. На протяжении всей жизни нас учат, что самое лучшее быть не уязвимым, а наоборот – толстокожим и «пуленепробиваемым». Мол, только так можно выжить.
Быть неуязвимым, защищённым и невосприимчивым к бесконечным капризам жизни – вот идеал сегодняшнего общества «мотивированных и нацеленных». Такой себе эмоциональный и ментальный «идеал».
Очень немногие из нас готовы к этому и даже просто допускают саму возможность «приоткрыть забрало».
Правда же состоит в том, что все мы подвержены уязвимости, как бы не старались это спрятать или замаскировать. А проблема состоит в том, что люди зачастую неправильно или искажённо трактуют, что же такое уязвимость.
Парадокс уязвимости
«Парадокс уязвимости состоит в том, что это первое, что мы ищем в других, но самое последнее, что желали бы обнаружить у себя», – Брене Браун.
Уязвимость действительно является одной из самых загадочных граней опыта человека. Например, тот факт, что она невероятно притягивает нас в других, но сами мы шарахаемся от неё в себе, как от огня. Мы не хотим, не желаем быть уязвимыми. Но мы нуждаемся в ней!
Что уж обманывать себя: уязвимость делает нас более восприимчивыми к обидам. Нас намного легче ранить или разбить сердце. Мы разочаровываемся, страдаем… Этого нельзя отрицать!
Но в то же время толстокожесть вместо уязвимости лишает нас возможности по-настоящему чувствовать радость и волшебство жизни. Мы не можем быть естественными и открытыми, какими пришли в этот мир. И мы не можем быть …людьми.
Ведь быть человеком – означает быть несовершенным!
Я открыла для себя потрясающую вещь! Если позволить себе быть уязвимыми – перед нами сразу же открывают свои двери тысячи возможностей, о которых мы даже мечтать ранее не смели.
Например, если бы я не избавилась иллюзии того, что во всём следует быть идеальным, то ни за что не решилась бы писать статьи. «Ведь люди сразу же обнаружат все мои слабости и недостатки!» – полагала я. Также я никогда не смогла бы извлечь уроки из всего, что меня потрясло, бросило вызов или представило в довольно неприглядном свете.
И самое главное – я бы ни за что не открылась и не открыла для себя многих людей. То есть лишила б себя возможности открыть чудный мир возможностей и прекрасных собеседников и учителей.
Потому что быть уязвимым – это, прежде всего, быть храбрым. Смело смотреть в глаза своему страху и не отступать. Принимать то, что тебя могут в любую минуту атаковать, и придётся искать компромисс. Полностью отказаться или запретить себе уязвимость означает закрыть себя для настоящей жизни только из страха. А это неправильно. Вами должна управлять Сила.
Как писал Стивен Рассел: «Уязвимость – это единственно природное состояние каждого человека. Быть уязвимым означает быть, прежде всего, открытым. Да, как для боли, так и для радости и подлинного удовольствия. Быть открытым к тому, что жизнь может ранить тебя и не раз – также означает быть открытым к тому, что она приятно удивит и откроет свою красоту».
Открываем себя навстречу уязвимости
«Почему я, чёрт возьми, должен открываться и становиться уязвимым?» – это первая реакция каждого человека. Скорее всего, и ваша – также. Происходит это на уровне рефлексов, даже без предварительного анализа и раздумий. Зачем становится «слабым», тем более что этим обязательно воспользуются.
По правде говоря, по очень многим причинам. И сейчас объясню, почему:
Принятие своей уязвимости позволяет чувствовать себя более открытыми и близкими с другими людьми. Таким образом, улучшается ваша коммуникация, крепкими и здоровыми становятся отношения.
Без уязвимости невозможны счастливые и здоровые романтические и интимные отношения. Ведь если вы закрыты друг для друга, то о какой близости может идти речь?
Уязвимость позволяет нам быть более честными и естественными по отношению к другим людям, и по отношению к себе – также. А это – путь к гармонии: как с окружающим миром, так и с самим собой.
Уязвимость открывает перед нами множество дверей возможностей и открытий. Заметьте, что без неё они остались бы наглухо закрытыми навсегда. Ведь если вы закрыты, то и двери – закрыты. Всё логично.
Уязвимость помогает нам расти, проходя сквозь бури жизненных проблем и невзгод. Мы учимся на собственном опыте и становимся только сильнее.
Когда мы позволяем себе быть уязвимыми – это вносит в жизнь чувство общего благополучия. Ведь мы больше не прячемся и не закрываемся, а наоборот – открываемся навстречу всему, что предлагает нам жизнь.
Признаюсь честно, я также побаиваюсь уязвимости. Как по мне, это просто ужасный опыт, как если бы ты ходил по улицам голым с надписью на лбу: «Ударь меня». Так что вы не одиноки в своём страхе уязвимости.
Это нормально, ведь все мы – всего лишь люди, а не боги. Как и я, вы, вероятно, всё ещё учитесь этой непростой науке – принятию уязвимости. Но когда нам с вами удастся постигнуть её – это будет величайшей победой над собой и своими страхами. Поистине мужественный поступок.
Что же изменится в вашей жизни после этого? Да буквально всё! И самое главное – в лучшую сторону.
Как же решиться быть уязвимым? Сделать всё правильно и грамотно?
1. Культивировать доверие с помощью любви.
Почему люди предпочитают закрываться и пребывать в изоляции? Одной из самых главных причин является то, что они страдают от неуверенности в себе. А также – не научены любить себя. Боятся любить и уважать себя.
А когда мы себя не уважаем, малейшая критика, осуждение или резкие слова других людей становятся для нас сокрушительным ударом. Который, к сожалению, не проходит бесследно: мы становимся ещё более неуверенными в себе и ещё более закрываемся.
Не удивительно, что все так боятся уязвимости! Ведь мы полагаем, что именно она превращает нас в мишень для ударов и обид.
Чем больше вы будете культивировать любовь к себе, чем больше будете уважать и признавать себя – тем менее опасной и грозной станет уязвимость. Наоборот, она станет вашей частью, внесёт спокойствие и счастье в вашу жизнь.
2. То, как люди относятся к другим, является отражением того, как они относятся к себе.
Довольно часто нашу уязвимость просто не понимают и не воспринимают. Недалёкие люди многозначительно улыбаются или даже высмеивают. Это – не о вас. Это – о них.
Правда состоит в том, что, то, как люди относятся к другим, является отражением того, как они относятся к себе.
Добродушные и открытые люди редко относятся к кому-то плохо. Они любят этот мир, себя и других людей. Места для агрессии просто не остаётся.
А вот капризные и депрессивные люди – редко относятся к другим доброжелательно. Ведь если они не любят и не уважают себя, то как могут относиться к другим?
Достаточно осознать эту истину – и вы совершенно по-другому начнёте воспринимать жизнь. И уязвимость – также.
3. Отпустите своё желание всё контролировать. Это ещё никому не удавалось.
Признаюсь честно, я просто помешана на контроле. А как с этим обстоят дела у вас? Подозреваю, что очень похоже.
Дело в том, что для того, чтобы принять уязвимость, следует раз и навсегда избавиться от этой пагубной привычки – желания контролировать, как вы выглядите в глазах других людей.
Добиться этого не так уж и просто, не буду скрывать. Ведь вы «практиковались» годами! Но нет ничего не возможного. Выработать в себе новую привычку при желании – можно. Тем более, что это является жизненно важным навыком.
Уязвимость – это огромное преимущество, которое предлагает нам жизнь. И не смотрите на то, что в нынешнем обществе господствуют совершенно другие идеалы «толстокожести и пуленепробиваемости». Как будто уязвимость представляет собой угрозу нашему благополучию и силе. На самом деле всё наоборот: уязвимость позволяет нам любить глубже, сильнее, смелее. А значит – становиться только сильнее.
Новое видео:
Уязвимость – признак психологической храбрости
Позволить себе быть уязвимым – это проявление храбрости. В конце концов, сильный – это не тот, кому удается на протяжении длительного времени сохранять фальшивый образ счастливого человека. Вы проявляете силу, когда позволяете своим чувствам покинуть границу своей грудной клетки, и когда принимаете свои ошибки и боль.
Чтобы вам ни говорили, уязвимость – это одно из самых ценных качеств вашей личности. Это еще одна часть вашей человеческой реальности, заслуживающая того, чтобы ее приняли. Будучи уязвимым, вы не только овладеваете своей эмоциональной Вселенной, но и устанавливаете более тесную и подлинную связь с окружающими вас людьми.
Быть уязвимым может позволить себе только сильный человек. В мире, в котором люди, в первую очередь, ценят уверенность в себе и твердость характера, те, кто осмеливается опустить вниз доспехи совершенства, являются выдающимися храбрецами.
Стоит помнить, что уязвимость – это не что-то болезненное, и это не то, что нужно воспринимать как недостаток силы или мужества. Это еще одна сторона человеческого характера. По сути, это часть нашей природы, которая делает вас более чувствительным к вашим потребностям и которая позволяет сопереживать окружающим людям.
Уругвайский писатель Марио Бенедетти однажды сказал, что совершенство – это отшлифованная коллекция ошибок. Однако давайте просто признаем: людям трудно принимать свои ошибки, неудачи и перемены. Мы хорошо научились создавать видимость успеха и хорошего настроения, когда в реальности глубоко внутри чувствуем себя напуганным, печальным и обеспокоенным.
Уязвимость всегда ассоциировалось с чем-то негативным и даже постыдным. К тому, кто уходит от культа совершенства, силы и решимости и вместо этого принимает сомнения и ошибки как часть игры, часто начинают относиться хуже, чем раньше, потому что его поведение перестает соответствовать общественным ожиданиям и установкам.
Но кажущаяся жесткость и непогрешимость не всегда приводит вас к вершинам, или, по крайней мере, не тогда, когда речь заходит о счастье, благополучии и уважении.
Брене Браун, профессор Хьюстонского университета, отметила, что уязвимость – это то место, где рождаются любовь, чувство принадлежности, радость, мужество, сопереживание и творчество. Таким образом, почему вы должны считать, что, когда вы позволяете себе быть уязвимым, вы становитесь менее совершенным?
Грустно, если человек не может позволить себе быть уязвимым. Но еще печальнее, когда кто-то так и не осмеливается открыться перед окружающими, чтобы передать свои эмоции и почувствовать боль или радость другого человека.
Очень жаль, что некоторые из нас просто одержимы идеей доказать миру, что они являются людьми компетентными, жесткими, стойкими и неспособными на ошибки. Это желание, наоборот, говорит лишь об их несчастье и несовершенстве.
Смелость – это демонстрация своего света и тени, своих сильных и слабых сторон. Это способность упасть, когда ты уже не в состоянии идти дальше, а затем подняться, когда придет время.
Сила уязвимости делает вас человеком. Умение принимать себя и других такими, какие вы есть, делает вас более совершенными. Ничто так не утешает, как признание своей уязвимости.
Новое видео:
С открытым сердцем: почему не нужно скрывать от партнера свою уязвимость
Если вы в любой ситуации стараетесь сохранить лицо и не можете расслабиться даже с близким человеком, то, скорее всего, вы ставите знак равенства между уязвимостью и слабостью. Психологи считают иначе: уязвимость — это проявление силы духа и залог успешных отношений. Рассказываем, почему так важно принять свои чувства и желания и не бояться делиться ими с другими людьми.
Если вам сложно раскрыться в романтических отношениях, помните: вы не одиноки. Уязвимость сегодня считается ключевым элементом здоровых, полноценных отношений. Но на практике всё не так просто.
Многие из нас привыкли считать, что уязвимость — это признак слабости, а не силы. Это заблуждение. Известная исследовательница феномена уязвимости Брене Браун характеризует его как «эмоциональный риск, незащищенность и неопределенность, наполняющие смыслом повседневную жизнь».
В романтических отношениях быть уязвимым — значит первым произнести «Я люблю тебя», признать ошибку, предложить парную терапию или наконец набраться смелости и сказать партнеру, что вам от него нужно.
По словам психолога Ли Лэнд, «проявляя уязвимость, мы можем столкнуться с чувством стыда, смущением, самокритикой и другими неприятными эмоциями». Несмотря на риски, уязвимость дает нам множество преимуществ. «Благодаря эмоциональной открытости и уязвимости можно укрепить отношения и достичь истинной близости», — полагает Лэнд.
Эксперты по отношениям рассказывают, почему мы боимся проявлять уязвимость и как преодолеть этот страх.
Почему нам трудно быть уязвимыми
В романтических отношениях мы боимся рассказать о своих тревогах, потребностях, ошибках и недостатках — нам кажется, что партнер изменит свое мнение о нас. Мы боимся, что нас поднимут на смех, осудят, перестанут любить или уйдут.
«Уязвимость позволяет открыть свои потаенные мысли и чувства, но мы можем быть отвергнуты. Каждый из нас сталкивался с тем, что люди реагировали на его откровенность обидным образом. Страх ощутить эмоциональный дискомфорт заставляет нас скрывать свои истинные чувства», — говорит Ли Лэнд.
Наша способность проявлять уязвимость во многом зависит от родительской модели воспитания. Спенсер Норти, семейный терапевт и специалист по брачным отношениям, считает, что, если вы росли в атмосфере свободного выражения чувств, скорее всего, вам будет проще общаться с окружающими таким же образом. «Но если в детстве, демонстрируя уязвимость, вы сталкивались с обидными словами, вероятно, вам будет трудно раскрыться во взрослом возрасте».
Как научиться проявлять уязвимость
Проявлять уязвимость в отношениях — полезно, и этому можно научиться. Вот несколько советов от экспертов, которые помогут вам стать более открытыми.
Посмотрите на людей вокруг вас — кто из них показывает свою уязвимость? Учитесь у них
Может быть, это ваш коллега, который поделился своей неудачей в фейсбуке, или друг, имевший мужество признаться, что борется с наркозависимостью. Общаясь с людьми, которые не стесняются показывать свою уязвимость, вы можете перенять их опыт. Постепенно ваша защита начнет ослабевать.
«Проводя время с эмоционально открытыми и уязвимыми людьми, вы не только повышаете уровень своего душевного комфорта, но и выстраиваете систему межличностной безопасности, которая позволяет делиться чувствами более открыто», — говорит Лэнд.
«Часто те, кому сложно проявить уязвимость в романтических отношениях, имели болезненный опыт отношений в прошлом», — утверждает семейный терапевт Анна Осборн. Открывайтесь понемногу, начиная с мелочей, и постепенно переходите к более важным вещам.
«Чем больше вы практикуетесь, тем больше ваше желание рисковать и быть уязвимым в любовных отношениях», — говорит Осборн.
Разберитесь в своих чувствах и сверяйтесь со своим внутренним компасом
Если вы привыкли избегать сложных эмоций и подавлять их, вам трудно понять, как вы на самом деле себя чувствуете. Ведение дневника, медитация, работа с терапевтом помогут разобраться в своей эмоциональной жизни.
«Знакомясь с собственными сильными эмоциями, люди учатся делиться своими чувствами и укрепляют связь с близкими. Терапия может стать комфортной средой, в которой не страшно учиться проявлять здоровую уязвимость», — считает Лэнд.
Признайте чувства партнера
Как отмечает семейный коуч Джонатан Роберт, конфликты в отношениях возникают, когда один из партнеров осмеливается открыть свои чувства, а второй демонстрирует защитную реакцию или сразу начинает предлагать решения, вместо того чтобы выслушать:
«Часто мы торопим события и не обращаем внимания на то, что наш партнер обижен или напуган. Сперва нужно признать его чувства и только потом начинать решать проблему. Это очень сложно, поскольку обычно мы думаем, что помогаем человеку, а на самом деле только еще больше обижаем его».
Чтобы признать чувства партнера, необходимо признать ценность его опыта, даже если вы не полностью разделяете его точку зрения.
Например, можно сказать: «Да, я понимаю, почему ты воспринял это таким образом» или «Должно быть, тебе было очень обидно/неприятно/больно пройти через это».
После того как вы признали чувства партнера, уже можно мягко изложить свой взгляд на проблему и начать разговор о том, как с ней справиться. К примеру: «Мне не хотелось, чтобы ты это испытал, но теперь я понимаю, каково тебе было» или «Мне хочется разобраться в том, что ты чувствуешь, чтобы мы вместе смогли найти решение».
Когда высказываете недовольство, используйте тактику «мягкого старта»
Озвучивая свои претензии в отношениях, мы часто прибегаем к критике: «Вечно ты слишком поздно приходишь домой. А здесь стынет ужин, плачут дети, голодает кот. Ты такой эгоистичный!» Однако более здоровый подход, подразумевающий проявление собственной уязвимости, заключается в выражении своих потребностей, а не в критике своего партнера.
Известные исследователи отношений Джон и Джули Готтман изобрели технику «мягкого старта», которая позволяет вести такие разговоры, используя очень простой шаблон: «Когда происходит ___________, я чувствую _______ и мне нужно __________».
Например, лучше сказать: «Когда тебя долго нет дома, нам всем здесь плохо и одиноко. Было бы здорово, если бы ты старался возвращаться пораньше. А если ты задерживаешься, пожалуйста, предупреждай об этом по телефону».
Помните, что люди положительно относятся к проявлениям уязвимости
Что вы чувствовали, когда перед вами кто-то открывался? Скорее всего, вам было приятно, что с вами поделились своей личной историей. Или вас восхитила смелость, которая для этого потребовалась:
«Помните, что мы чувствуем близость с теми, кто делится с нами своим опытом честно и откровенно — с теми, кто не боится показать уязвимость».
Полное руководство по общему стандарту оценки уязвимостей версии 2, Часть первая, Группы метрик
Общая система оценки уязвимостей (CVSS) – это открытая схема, которая позволяет обмениваться информацией об IT-уязвимостях.
Разработчики: Peter Mell, Karen Scarfone, Национальный институт стандартов и технологий, Sasha Romanosky, университет Карнеги Мелон.
Перевод: ЗАО «Позитив Текнолоджиз», 2008
1. Введение
В настоящее время IT-персонал вынужден выявлять и обрабатывать уязвимости различных программных и аппаратных платформ. Существует необходимость расставить приоритеты для этих уязвимостей, чтобы в первую очередь исправлять те из них, которые представляют наибольшую опасность. Но так как уязвимостей, подлежащих исправлению много, и они были оценены по разным шкалам [2][3][4], то свести эти данные воедино для общего анализа не представляется возможным. Общая система оценки уязвимостей (CVSS) – это открытая схема, которая предназначена для решения этой проблемы. Использование CVSS предоставляет следующие выгоды:
1.1. Что такое CVSS?
CVSS состоит из трех основных метрик: базовая метрика, временная метрика и контекстная метрика. Каждая из них, в свою очередь, состоит из набора метрик, как показано на рис. 1.
Рис. 1. Группы метрик CVSS.
Эти группы метрик описываются следующим образом:
1.2. Другие системы оценки уязвимостей
Существует ряд других систем оценки уязвимостей, которые созданы коммерческими и некоммерческими организациями. Каждая из них имеет свои преимущества, но все они отличаются по тому, какой признак измеряется. Например, CERT/CC использует значения оценок от 0 до 180 и учитывает такие факторы, как например, подвержена ли Интернет-инфраструктура риску и какой тип предусловий нужен для эксплуатации уязвимости [3]. Система анализа уязвимостей SANS учитывает, в какой конфигурации найдена уязвимость – стандартной или нет, или является ли система клиентом или сервером [4]. Система оценки от Microsoft пытается отразить сложность эксплуатации и общее воздействие от эксплуатации уязвимости [2]. Эти системы оценки являются полезными, но они представляют подход, при котором считается, что последствия эксплуатации уязвимости одинаковы для частного лица и для компании.
CVSS можно также описать «от противного». CVSS не является:
1.3. Как функционирует CVSS?
Когда базовые метрики определены, с помощью базовой формулы вычисляется оценка от 0 до 10 и создается вектор, как показано на рисунке 2. Вектор олицетворяет собой открытую архитектуру системы. Вектор – это текстовая строка, которая содержит значения, связанные с каждой метрикой. Вектор используется для того, чтобы точно отобразить, как была получена оценка. Поэтому необходимо, чтобы вектор всегда публиковался вместе с оценкой. Более подробная информация о векторах представлена в главе 2.4.
Рис 2. Метрики и уравнения.
При необходимости оценку базовой метрики можно уточнить, используя оценки временной и контекстной метрик. Это удобно для того, чтобы отобразить дополнительный контекст уязвимости и более точно определить риск, который возникает от наличия уязвимости в конкретной среде. Но, тем не менее, это не обязательно. В зависимости отцелей, вполне может хватить базовой метрики и вектора.
Если требуется временная метрика, то временная формула сочетает временные метрики с базовыми, чтобы получить временную оценку в диапазоне от 0 до 10. Также в случае необходимости вычислить контекстную оценку, контекстная формула сочетает контекстные метрики с временной оценкой, чтобы получить контекстную оценку в диапазоне от 0 до 10. Базовая, временная и контекстная формулы полностью описаны в главе 3.2.
1.4. Кто вычисляет оценку?
Обычно базовая и временная метрики определяются аналитиками бюллетеней уязвимостей, производителями продуктов в области информационной безопасности или производителями приложений, потому что именно они имеют более полную информацию о характеристиках уязвимостей, чем пользователи. Тем не менее, контекстная метрика определяется пользователями, потому что именно они имеют возможность увидеть последствия уязвимости в их среде.
1.5. Кому принадлежит CVSS?
CVSS разрабатывается Forum of Incident Response and Security Teams (FIRST). [3]. Но, тем не менее, это свободный и открытый стандарт. Ни одна из организаций не является владельцем CVSS, и членство в FIRST не влечет за собой обязанности использовать или внедрять CVSS. Единственной просьбой от FIRST к тем организациям, которые публикуют оценки, является то, чтобы они согласовывали оценки с правилами, описанными в этой статье, и публиковали одновременно оценки и вектор (описанный ниже), чтобы пользователи понимали, как полученная конкретная оценка.
1.6. Кто использует CVSS?
CVSS используют разные организации, и каждая получает оценки своим способом. Вот некоторые примеры:
1.7. Понятия и определения
В этом документе используются следующие понятия:
2. Группы метрик
2.1. Базовые метрики
Эта метрика отображает, как эксплуатируется уязвимость. Возможные варианты значений этой метрики приведены в таблице 1. Чем более удаленным от хоста может быть злоумышленник при эксплуатации уязвимости, тем большее значение имеет оценка уязвимости.
Для эксплуатации уязвимости злоумышленник должен иметь доступ к соседней сети, т.е. такой сети, которая имеет общую среду передачи с сетью, где находится уязвимое ПО. Например, локальные IP subnet, Bluetooth, IEEE 802.11 и локальные Ethernet-сегменты.
Для эксплуатации уязвимости злоумышленник должен обладать доступом к уязвимому ПО, причем этот доступ ограничен только величиной сетевого стека. Локального доступа или доступа из соседней сети не требуется. Такие уязвимости часто называют эксплуатируемыми удаленно. Примером такой сетевой атаки служит переполнение буфера RPC.
Таблица 1. Оценка Access Vector
Эта метрика отображает сложность эксплуатации атаки, если злоумышленник получил доступ к целевой системе. Например, представьте переполнение буфера в Интернет-службе: как только целевая система обнаружена, злоумышленник может эксплуатировать уязвимость. Другие уязвимости могут требовать дополнительных действий для эксплуатации. Например, уязвимость в почтовом клиенте может эксплуатироваться только после того, как пользователь скачает и откроет вредоносное приложение. Возможные варианты значений этой метрики приведены в таблице 2. Чем легче эксплуатировать уязвимость, тем выше значение оценки.
Для эксплуатации уязвимости нужны особые условия. Например:
· В большинстве конфигураций злоумышленник должен иметь повышенные привилегии или эксплуатировать уязвимости одновременно и в других системах (например, захват DNS)
· Атаки, основанные на методах социальной инженерии, могут быть легко обнаружены хорошо осведомленными людьми. Например, жертва может выполнить некоторые нетипичные действия.
· Уязвимая конфигурация на практике встречается очень редко
· Окно при условиях race condition очень узкое.
Для эксплуатации уязвимости нужны до некоторой степени особые условия. Например:
· Злоумышленники ограничены группой систем или пользователей, которые имеют некоторый уровень авторизации, и, возможно, являются недоверенными
· Для успешной эксплуатации некоторую информацию необходимо собрать заранее
· Уязвимая конфигурация не является стандартной и обычно не используется (например, уязвимость существует, когда сервер проводит аутентификацию учетной записи пользователя по специальной схеме, но не существует при использовании другой схемы)
Для эксплуатации уязвимости не требуются специальные условия и особые обстоятельства. Например:
· Доступ к уязвимому продукту имеют большое количество систем и пользователей, причем доступ может быть анонимный или недоверенный (например, соединенный с Интернетом web или почтовый сервер)
· Уязвимая конфигурация является стандартной или повсеместно используемой
· Атаку можно провести вручную или обладая небольшим количеством навыков. Требуется немного дополнительной информации
· Условия race condition легко использовать
Таблица 2: Оценка Access Complexity
Эта метрика отображает количество этапов аутентификации, которые злоумышленник должен пройти в целевой системе, чтобы эксплуатировать уязвимость. Эта метрика не относится к сложности или защищенности самого процесса аутентификации, а касается только необходимости предъявить учетные данные перед тем, как уязвимость можно будет эксплуатировать. Возможные варианты значений этой метрики приведены в таблице 3. Чем меньше нужно учетной информации, тем больше значение оценки.
Для эксплуатации уязвимости злоумышленник должен аутентифицироваться два и более раз, даже если одни и те же учетные данные используются несколько раз. Примером может служить аутентификация в операционной системе, а затем – для доступа к приложению в данной системе.
Для эксплуатации уязвимости аутентификация не требуется.
Таблица 3: Оценка Authentication
Эта метрика отображает влияние успешной эксплуатации уязвимости на сохранение конфиденциальности в системе. Понятие «конфиденциальность» относится к ограничению доступа к информации и отображению некоторых данных только для авторизованных пользователей, а также к предотвращению доступа или разглашения информации неавторизованным пользователям. Возможные варианты значений этой метрики приведены в таблице 4. Чем больше воздействие на конфиденциальность, тем больше значение оценки.
Уязвимость не затрагивает конфиденциальность системы.
Имеется существенное разглашение данных. Возможен доступ к некоторым системным файлам, но злоумышленник не получает контроля над этой информацией, или масштабы потерь невелики. Примером может служить уязвимость, которая вызывает разглашение некоторых таблиц в базе данных.
Происходит полное разглашение данных, что приводит к раскрытию всех системных файлов. Злоумышленник может читать все системные данные (память, файлы и пр.).
Таблица 4: оценка Confidentiality Impact
Эта метрика отображает влияние успешной эксплуатации уязвимости на целостность системы. Понятие «целостность» связана с достоверностью и точностью информации. Возможные варианты значений этой метрики приведены в таблице 5. Чем больше влияние на целостность системы, тем больше значение оценки.
Эксплуатация уязвимости не оказывает влияние на целостность системы.
Возможно изменение некоторых системных файлов или информации, но злоумышленник не получает контроль над изменяемыми данными, или область его влияния ограничена. Например, системные файлы или файлы приложений могут быть перезаписаны или изменены, но злоумышленник не может выбрать файлы, которые будут изменены, или может изменять файлы в ограниченном контексте или области.
Эксплуатация уязвимости позволяет полностью нарушить целостность системы. Защита системы полностью потеряна, система скомпрометирована. Злоумышленник может изменять любые файлы целевой системы.
Таблица 5: Оценка Integrity Impact
Эта метрика отображает влияние успешной эксплуатации уязвимости на доступность системы, т.е. на доступность информационных ресурсов. Атаки, потребляющие пропускную способность сети, циклы процессора или дисковое пространство, влияют на доступность системы. Возможные варианты значений этой метрики приведены в таблице 6. Чем больше влияние на доступность системы, тем больше значение оценки.
Эксплуатация уязвимости не влияет на доступность системы.
Происходит полное отключение системы. Злоумышленник может сделать ресурс полностью недоступным.
Таблица 6: Оценка Availability Impact
2.2. Временные метрики
Угроза, которую несет уязвимость, может изменяться со временем. Если три фактора, которые изменяются со временем и учитываются в CVSS : подтверждение технических деталей уязвимости, статус исправления уязвимости и доступность кода эксплуатации или технологии эксплуатации. Так как временные метрики являются необязательными, они не влияют на базовую оценку. Эти метрики применяются только в тех случаях, когда пользователь хочет уточнить базовую оценку.
Эта метрика отображает наличие или отсутствие кода или техники эксплуатации. Если легкий в использовании код эксплуатации является общедоступным, то число потенциальных злоумышленников резко возрастает, что увеличивает серьезность уязвимости. Изначально реальная эксплуатация уязвимости может допускаться только теоретически. Публикация технических деталей увеличивает вероятность эксплуатации уязвимости. Эксплойт может позволить злоумышленника постоянно эксплуатировать уязвимость. В некоторых особо опасных случаях это может служить основой для сетевых червей или вирусов. Возможные варианты значений этой метрики приведены в таблице 7. Чем легче эксплуатировать уязвимость, тем выше значение оценки.
Эксплойт не известен, или эксплуатация возможна теоретически.
Доступен эксплойт, описывающий концепцию эксплуататции, или существует демонстрация атаки, которая не применима в большинстве систем. Код или технология не действуют в большинстве ситуаций или требуют существенных изменений квалифицированным злоумышленником для использования.
Эксплойт доступен и может быть применен в большинстве ситуаций.
Уязвимость можно эксплуатировать с помощью легко переносимого, автономного кода, или эксплойт не нужен (эксплуатация вручную) и детали широко известны. Код эксплуатации работает в любой ситуации или активизируется мобильным автономным агентом (например, червь или вирус).
Метрика не влияет на оценку и будет пропущена в формуле.
Таблица 7: Оценка Exploitability
Remediation Level – важный фактор для приоритезации. Типичная уязвимость обычно не имеет исправления, когда информация о ней публикуется впервые. Текущие исправления и дополнительные действия предлагаются для временного исправления уязвимости до того момента, когда будет выпущено официальное исправление или обновление. Наличие исправления (временного или постоянного) уменьшается временную оценку, что влияет на уменьшение срочности проблемы, когда появляется официальное исправление. Возможные значения этой метрики представлены в Таблице 8. Чем менее официальный характер носит исправление или чем более оно временное, тем выше оценка.
Официальное исправление (OF)
Доступно официальное обновление или исправление от производителя.
Временное исправление (TF)
Доступно официальное временное обновление. Например, производитель выпустил временное исправление или опубликовал список дополнительных действий.
Дополнительные действия (W)
Доступно неофициальное решение, которое предоставлено третьей стороной. В некоторых случаях пользователи уязвимой технологии могут сами создать исправление или разработать дополнительные действия или каким-либо другим способом уменьшить влияние уязвимости.
Обновление или исправление недоступно или не может быть применено.
Метрика не влияет на оценку и будет пропущена в формуле.
Таблица 8: Оценка Remediation Level
Эта метрика отображает степень конфиденциальности информации о существовании уязвимости и достоверность известных технических деталей. Иногда публикуется только информации о существовании уязвимости, а детали не указываются. Позже уязвимость может быть дополнена информацией о технологии эксплуатации от автора или от производителя. Риск от наличия уязвимости выше, если ее существование достоверно известно. Эта метрика отражает необходимый уровень подготовки потенциальных злоумышленников. Возможные значения этой метрики представлены в Таблице 9. Чем подробнее информация об уязвимости, предоставленная производителем или другим надежным источником, тем выше оценка.
Существует одно неподтвержденное сообщение или несколько противоречивых сообщений. Достоверность этих сообщений мала. Примером может служить слух из хакерских кругов.
Существует сообщения от множества неофициальных источников, возможно, независимых компаний в области безопасности или исследовательских организаций. Возможно, что некоторые технические детали противоречивы или существует другая неоднозначность.
Уязвимость подтверждена производителем или автором технологии эксплуатации уязвимости. Этот статус также может быть присвоен уязвимости, если ее существование подтверждено каким-то внешним событием, например, публикацией эксплойта или концепции эксплойта или широко распространенной эксплуатацией.
Метрика не влияет на оценку и будет пропущена в формуле.
Таблица 9: Оценка Report Confidence
2.3. Контекстные метрики
Различные среды могут иметь огромное влияние на риск, который оказывает наличие уязвимости, для организации и заинтересованных лиц. Группа контекстных метрик CVSS отражает характеристики уязвимости, которые связаны со средой пользователя. Так как контекстные метрики являются необязательными, они не влияют на базовую оценку. Эти метрики применяются только в тех случаях, когда пользователь хочет уточнить базовую оценку.
Эта метрика отображает потенциальную возможность повреждения или утраты собственности или оборудования, а также может оценивать экономические потери, связанные с производительностью или доходом. Возможные значения этой метрики представлены в Таблице 10. Чем выше потенциальная опасность, тем выше оценка.
Не существует потенциальной опасности повреждения или утраты оборудования, производительности или дохода.
Удачная эксплуатация уязвимости может привести к небольшому повреждению устройства или собственности ил небольшой потере производительности или дохода в организации.
Средний, пониженный (LM)
Удачная эксплуатация уязвимости может привести к среднему повреждению устройства или собственности или средней потере производительности или дохода в организации.
Средний, повышенный (MH)
Удачная эксплуатация уязвимости может привести к значительному повреждению устройства или собственности или значительной потере производительности или дохода в организации.
Удачная эксплуатация уязвимости может привести к катастрофическому повреждению устройства или собственности или катастрофической потере производительности или дохода в организации.
Таблица 10: Оценка Collateral Damage Potential
Естественно, каждая организация должна сама для себя определить точно значение указанных категорий «низкий, средний, значительный и катастрофический».
Эта метрика отображает процент уязвимых систем от всех имеющихся систем. Она используется как особый индикатор среды, чтобы приблизительно определить процент систем, на которые может влиять данная уязвимость. Возможные значения этой метрики представлены в таблице 11. Чем больше процент уязвимых систем, тем больше оценка.
Целевых систем нет, или цели слишком специализированы и существуют только в лабораторных условиях. 0% риска для систем среды.
В указанном контексте существуют цели, но в небольшом количестве. Риску подвержены от 1% до 25% систем среды.
В указанном контексте существуют цели, но в среднем количестве. Риску подвержены от 26% до 75% систем среды.
В указанном контексте существуют цели, и их много. Риску подвержены от 76% до 100% систем среды.
Таблица 11: Оценка Target Distribution
Влияние на контекстную метрику определяется связанными базовыми Impact-метриками (заметьте, что базовые метрики confidentiality impact, integrity impact и availability impact не изменяются). Эти три метрики изменяют контекстную оценку, т.к. происходит переоценка (базовых) метрик confidentiality impact, integrity impact и availability impact. Например, значение метрики confidentiality impact (C) увеличивается, если значение confidentiality requirement (CR) равно “high ” (высокий). Соответственно, значение метрики confidentiality impact уменьшается, если значение confidentiality requirementравно “low ” (низкий). Значение метрики confidentiality impact является нейтральным, если значение confidentiality requirementравно “medium ” (средний). Такие же правила применяются метрик, связанных с целостностью и доступностью.
Заметьте, что confidentiality requirement не влияет на контекстную оценку, если (базовая) confidentiality impact установлена как “none ” (отсутствует). Также увеличение confidentiality requirementс “medium ” (средний) до “ high ” (высокий) не изменит контекстную оценку, если (базовые) метрики impact установлены как “ complete” (полное), т.к. в этом случае часть оценки, связанная с impact sub score (часть базовой оценки, которая соответствует impact), уже равна максимальному значению 10.
Возможные значения security requirementперечислены в таблице 12. Для краткости эта таблица используется для всех трех метрик. Чем больше security requirement, тем больше оценка (помните, что значение “medium ” (средний) является стандартным). Эти метрики изменяют оценку на ± 2.5.
Потеря [конфиденциальности | целостности | доступности], вероятно, имеет ограниченное неблагоприятное воздействие на организацию или частное лицо, связанное с организацией (например, сотрудники, клиенты).
Потеря [конфиденциальности | целостности | доступности], вероятно, имеет серьезное ограниченное воздействие на организацию или частное лицо, связанное с организацией (например, сотрудники, клиенты).
Потеря [конфиденциальности | целостности | доступности], вероятно, имеет очень серьезное воздействие на организацию или частное лицо, связанное с организацией (например, сотрудники, клиенты).
Метрика не влияет на оценку и будет пропущена в формуле.
Таблица 12: Значения Security Requirements
2.4. Базовый, временной и контекстный вектор
Каждая метрика в этой векторе представлена сокращенным именем метрики, за которым следует «:» (двоеточие), а затем – сокращенное значение метрики. Вектор содержит последовательность метрик в заранее заданном порядке, при этом символ «/» (слеш) используется для разделения метрик. Если временная или контекстная метрика не используется, то проставляется значение » ND » (не определено). Базовый, временной и контекстный вектор представлены ниже в таблице 13.