نقدی بر سیستم امتیازدهی به آسیب پذیری CVSS

در دنیای امروز بسیاری از فعالیت هایی که انجام می شوند، وابسته به سرویس هایی است که توسط شبکه های کامپیوتری ارائه می شوند. اگر چه این مساله باعث می شود که ارتباطات و تبادل اطلاعات به شکل کارایی انجام شود ولی حملاتی که در شبکه های کامپیوتری وجود دارند، می تواند صدمات جبران ناپذیری را به افراد و فعالیت های آنها وارد سازند. بنابراین مسئله ای که اهمیت پیدا می کند این است که، زیر ساخت شبکه های کامپیوتری امن و پابرجا باشد. برای این منظور لازم است تا، شبکه در برابر دسترسی های غیر مجاز مهاجمان مقاوم شود. نیل به این هدف ممکن نخواهد بود جز با شناسایی عوامل بروز حمله یا آسیب پذیری ها و تلاش برای برطرف سازی پرخطرترین آسیب پذیری ها یا نقاط ضعف در هر شبکه. بنابراین، وجود ساختاری برای امتیازدهی به آسیب پذیری ها بر اساس خطر تحمیل شده بر شبکه و اولویت بندی آنها بر اساس امتیاز محاسبه شده به- منظور مقاوم سازی کم هزینه از ضروریات است. منابع هر سازمان محدود هستند، با این وجود تعداد آسیب پذیری های شناخته شده عموما آنقدر زیاد هستند که برطرف کردن کامل آنها غیر ممکن خواهد بود. به عبارت دیگر، نیازمند یک مدل برای تحلیل خطر آسیب پذیری های هر شبکه هستیم. در این باره سیستم امتیازدهی به آسیب پذیری عام یا CVSS ، به عنوان پراستفاده ترین سیستم برای تعیین میزان خطر ناشی از بهره برداری شدن از آسیب پذیری ها معرفی شده است. در این مقاله پس از بررسی اجمالی عملکرد تعدادی از سیستم های امتیازدهی موجود، اطلاعات ارزیابی خطر برای تعداد 74660 آسیب پذیری ( آسیب پذیری های شناخته شده از سال 1988 تا کنون) از سیستم CVSS استخراج و براساس این اطلاعات، صحت و کارایی این سیستم امتیازدهی مورد مطالعه قرار گرفته و نقطه ضعف های آن استخراج گردیده است.