Inspector 分数和脆弱性情报 - Amazon Inspector
Amazon Inspector 评分脆弱性情报
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Inspector 分数和脆弱性情报

在 Amazon Inspector 控制台中,选择一项调查发现时,可以查看 Inspector 分数和脆弱性情报选项卡,这里显示了程序包脆弱性调查发现的评分详情以及脆弱性情报详细信息。这些详细信息仅适用于程序包脆弱性调查发现。

Amazon Inspector 评分

Amazon Inspector 评分是 Amazon Inspector 为每个 EC2 实例调查发现创建的情境化评分。Amazon Inspector 评分是通过将基本的 CVSS v3.1 分数信息与扫描期间从计算环境中收集的信息(例如网络可达性结果和可利用性数据)相关联来确定的。例如,如果脆弱性可通过网络利用,但 Amazon Inspector 确定互联网上没有通往易受攻击实例的开放网络路径,则该调查发现的 Amazon Inspector 评分可能低于基础评分。

调查发现的基础评分是供应商提供的 CVSS v3.1 基础评分。我们支持 RHEL、Debian 或 Amazon 供应商基础评分,对于其他供应商或者供应商未提供评分的情况,Inspector 使用美国国家漏洞数据库 (NVD) 中的基础评分。Inspector 使用通用脆弱性评分系统 3.1 版计算器来计算评分。你可以在漏洞详情下的漏洞详情下查看个人发现的基本分数来源(或调查结果 JSON 中的 packageVulnerabilityDetails .source)

注意

Amazon Inspector 评分不适用于运行 Ubuntu 的 Linux 实例。这是因为 Ubuntu 自行定义的脆弱性严重性可能与相关的 CVE 严重性不同。

Amazon Inspector 评分详细信息

打开调查发现的详细信息时,可以选择 Inspector 评分和脆弱性情报,此面板会显示基础评分和 Inspector 评分之间的差异。本节介绍 Amazon Inspector 如何根据程序包的 Amazon Inspector 评分和供应商评分的组合来分配严重性评级。如果评分不同,此面板会显示相应原因。

CVSS 评分指标部分,您可以看到一个表格,其中包含 CVSS 基础评分指标与 Inspector 评分的对比。参与对比的指标是 first.org 维护的 CVSS 规范文档中定义的基础指标。基础指标汇总如下:

攻击向量

可利用脆弱性的环境。对于 Inspector 调查发现,可以是网络、相邻网络本地

攻击复杂性

这描述了攻击者在利用脆弱性时面临的难度级别。评分意味着攻击者只需满足很少或根本不需要满足其他条件即可利用该脆弱性。评分意味着攻击者需要投入大量精力才能成功利用此脆弱性进行攻击。

所需的权限

这描述了攻击者利用脆弱性所需的权限级别。

用户互动

该指标说明成功利用此脆弱性进行攻击是否需要除攻击者之外的其他真人用户。

范围

这说明一个易受攻击组件中的脆弱性是否会影响易受攻击组件安全范围以外的组件中的资源。如果此值为不变,则受影响的资源不会影响其他资源。如果此值为已更改,则表明可利用易受攻击的组件来影响由不同安全机构管理的资源。

机密性

这衡量当脆弱性被利用时,对资源内数据机密性的影响程度。其范围为从(不影响机密性)到(资源中的所有信息都会泄露,或者密码或加密密钥等机密信息会泄露)。

完整性

这衡量当脆弱性被利用时,对受影响资源内数据完整性的影响程度。当攻击者修改受影响资源内的文件时,完整性就会受到威胁。评分范围为从(即攻击者无法通过脆弱性修改任何信息)到(如果脆弱性被利用,攻击者将可以修改任意或所有文件,或者可能被修改的文件会产生严重后果)。

可用性

这衡量当脆弱性被利用时,对受影响资源可用性的影响程度。评分范围为从(脆弱性完全不影响可用性)到(如果脆弱性被利用,攻击者可以完全拒绝对资源的访问或导致服务不可用)。

脆弱性情报

本节总结了 Amazon 提供的有关 CVE 的可用情报以及行业标准的安全情报来源,例如 Recorded Future 以及美国网络安全与基础设施安全局 (CISA)。

注意

来自 CISA、Amazon 或 Recorded Future 的情报并不适用于所有 CVE

您可以在控制台中或使用 BatchGetFindingDetailsAPI 查看漏洞情报详细信息。控制台提供以下详细信息:

ATT&CK

此部分显示与 CVE 相关联的 MITRE 战术、技术和程序 (TTP)。关联的 TTP 都会显示,如果有两个以上适用的 TTP,则可以选择链接以查看完整列表。选择一种战术或技术,可在 MITRE 网站上打开有关相应战术或技术的信息。

CISA

此部分包含与脆弱性相关联的日期。美国网络安全和基础设施安全局 (CISA) 根据活动利用情况的证据,将脆弱性添加到已知被利用的脆弱性目录中的日期,以及 CISA 预计系统修复脆弱性的截止日期。此信息来自 CISA。

已知恶意软件

此部分列出了利用此脆弱性的已知恶意程序包和工具。

证据

此部分总结了涉及此脆弱性的最严重安全事件。如果有 3 个以上的事件具有相同的严重性级别,则会显示最近的三个事件。

上次报告时间

此部分显示脆弱性的最后一次已知公开利用日期。