اعلانها#
معرفی
اعلانها هشدارهایی هستند که برای کاربر ایجاد و ارسال میشوند.
هر اعلان هشدار دهنده کشف یک آسیب پذیری مرتبط با داراییهای کاربر است.
نحوه ایجاد و ارسال اعلانها#
با کشف و انتشار هر آسیب پذیری در مراجع معتبر سامانه نتبان آن را بررسی کرده و داراییهایی که تحت تاثیر آن هستند را مشخص میکند سپس بر اساس تنظیمات کاربر سطح آسیب پذیری را مشخص میکند که یکی از سطوح زیر خواهد بود:
- بحرانی
- پرخطر
- خطرناک
- کم خطر
پس از تعیین سطح طبق نحوه اطلاع رسانی تنظیم شده هشدار اعلان برای کاربر ارسال خواهد شد.
مثال
برای یک آسیب پذیری که مربوط به دارایی سرور وب کاربر علی است سطح پرخطر تعیین میشود.
علی در قسمت تنظیمات برای آسیب پذیریهای پرخطر ارسال پیامک را تعیین کرده است.
نتبان با ارسال پیامک علی را از وجود این آسیب پذیری آگاه میکند.
نحوه تعیین سطح آسیب پذیریها#
برای تعیین سطح آسیب ها سه روش مختلف در سامانه نت بان وجود دارد:
CVSS
اگر با سیستم امتیازدهی آسیب پذیری CVSS آشنایی ندارید، برای کسب اطلاعات بیشتر به اینجا مراجعه کنید.
CVSS v2#
در این روش هر آسیب پذیری بر اساس امتیاز CVSS نسخه 2 خود طبق جدول زیر در یکی از دسته بندیهای بحرانی، پرخطر، خطرناک و کم خطر قرار میگیرد و سامانه طبق تنظیمات انجام شده برای کاربر اعلان لازم را صادر میکند.
| سطح خطر | بازهی امتیاز CVSS |
|---|---|
| بحرانی | 9.0-10.0 |
| پرخطر | 7.0-8.9 |
| خطرناک | 4.0-6.9 |
| کم خطر | 0.1-3.9 |
مثال
آسیب پذیری CVE-2022-21991 دارای CVSS v2 با امتیاز 6.8 است و طبق جدول بالا این آسیب پذیری در سطح خطرناک قرار میگیرد. سامانه برای کاربرانی که روش تعیین سطح را CVSS v2 انتخاب کرده باشند طبق تنظیمات «نحوه اطلاع رسانی آسیب پذیری خطرناک» اعلان می فرستد. مثلا با ایمیل و شبکههای اجتماعی اطلاع رسانی میشود.
CVSS v3#
این روش همانند روش قبل است با این تفاوت که در این روش از CVSS نسخه 3 برای تعیین سطح استفاده میشود. به عنوان مثال برای همین آسیب پذیری (CVE-2022-21991) امتیاز CVSS v3 برابر 8.1 است و در سطح پر خطرناک قرار میگیرد سامانه برای کاربرانی که روش تعیین سطح را CVSS v3 انتخاب کرده باشند طبق تنظیمات «نحوه اطلاع رسانی آسیب پذیری پرخطر» اعلان می فرستد. مثلا با ایمیل و پیامک اطلاع رسانی میشود.
در صورتی که برای یک آسیب پذیری امتیاز CVSS یکی از نسخهها محاسبه نشده باشد از امتیاز نسخه دیگر استفاده میشود. مثلا برای آسیب پذیری CVE-2022-41082 امتیاز CVSS v2 وجود ندارد که برای دسته بندی آن از امتیاز CVSS v3 استفاده میشود.
توجه
در صورتی که برای یک آسیب پذیری نسخه CVSS تعیین شده وجود نداشته باشد سامانه به صورت خودکار از نسخه دیگر استفاده میکند.
مثلا در صورتی که کاربر CVSS v2 را انتخاب کرده باشد ولی وجود نداشته باشد سامانه از CVSS v3 برای تعیین سطح آسیب پذیری استفاده میکند.
AmnScore#
در این روش براساس اهمیت دارایی مرتبط با آسیب پذیری، امتیاز CVSS، وجود بهره جویی (Exploit) برای آسیب پذیری و چند معیار مختلف دیگر امتیاز آسیب پذیری محاسبه شده و سطح بندی میشود و سپس طبق تنظیمات اطلاع رسانی انجام میشود.
توجه
این روش امتیازدهی توسط شرکت امنبان فناوری شریف طراحی شده است.