Amazon Inspector 调查发现的严重性级别 - Amazon Inspector
程序包脆弱性严重性代码脆弱性严重性网络可达性严重性

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Inspector 调查发现的严重性级别

当 Amazon Inspector 生成脆弱性调查发现时,它会自动为调查发现指定严重性。调查发现的严重性反映了它的主要特征,因此可以帮助您评测调查发现并确定其优先级。调查发现的严重性并不意味着或以其他方式表明受影响的资源可能对您的组织具有的关键程度或重要性。

调查发现的严重性评级由与以下严重性级别之一相对应的数字评分决定:提醒严重

Amazon Inspector 确定严重性的方法因调查发现类型而异。请参阅以下章节,详细了解 Amazon Inspector 如何确定每种调查发现类型的严重性评级。

程序包脆弱性严重性

Amazon Inspector 使用 NVD/CVSS 评分作为程序包脆弱性严重性评分的基础。NVD/CVSS 评分是 NVD 发布并由 CVSS 定义的脆弱性严重性评分。NVD/CVSS 评分由攻击复杂性、脆弱性代码成熟度和所需权限等安全指标组成。Amazon Inspector 会生成一个从 1 到 10 的数字评分,以反映脆弱性的严重性。Amazon Inspector 将其归类为基础评分,因为它根据脆弱性的内在特征反映了脆弱性的严重性,而这些特征不会随着时间的推移改变。该评分还假定了不同部署环境中合理的最坏影响。CVSS v3 标准将 CVSS 评分对应以下严重性评级。

评分

评级
0 信息性
0.1—3.9
4.0—6.9
7.0—8.9
9.0—10.0 重大

程序包脆弱性调查发现的严重性也可能是未分类。这意味着供应商尚未为检测到的脆弱性设置脆弱性评分。在这种情况下,我们建议使用调查发现的参考 URL 来研究脆弱性并做出相应的响应。

程序包脆弱性调查发现包括以下评分和相关的评分向量,这些都属于调查发现的详细信息:

  • EPSS 分数

  • Inspector 分数

  • 来自 Amazon CVE 的 CVSS 3.1

  • 来自 NVD 的 CVSS 3.1

  • 来自 NVD 的 CVSS 2.0(如适用)

代码脆弱性严重性

对于代码漏洞发现,Amazon Inspector 使用生成该发现的亚马逊 CodeGuru 探测器定义的严重性级别。使用 CVSS v3 评分系统为每个检测器分配一个严重性。有关严重性 CodeGuru 使用的说明,请参阅 CodeGuru 指南中的严重性定义。要查看按严重性分列的检测器列表,请从以下支持的编程语言中进行选择:

网络可达性严重性

Amazon Inspector 根据暴露的服务、端口和协议以及开放路径的类型来确定网络可达性脆弱性的严重性。下表定义了这些严重性评级。开放路径评级列中的值表示来自虚拟网关、对等 VPC 和 AWS Direct Connect 网络的开放路径。所有其他暴露的服务、端口和协议的严重性评级均为“提醒”。

服务

TCP 端口

UDP 端口

互联网路径评级

开放路径评级
DHCP 67、68、546、547 67、68、546、547 信息性
Elasticsearch 9300、9200 NA 信息性
FTP 21 21
全局目录 LDAP 3268 NA 信息性
全局目录 LDAP over TLS 3269 NA 信息性
HTTP 80 80 信息性
HTTPS 443 443 信息性
Kerberos 88、464、543、544、749、751 88、464、749、750、751、752 信息性
LDAP 389 389 信息性
LDAP over TLS 636 NA 信息性
MongoDB 27017、27018、27019、28017 NA 信息性
MySQL 3306 NA 信息性
NetBIOS 137、139 137、138 信息性
NFS 111、2049、4045、1110 111、2049、4045、1110 信息性
Oracle 1521、1630 NA 信息性
PostgreSQL 5432 NA 信息性
打印服务 515 NA
RDP 3389 3389
RPC 111、135、530 111、135、530 信息性
SMB 445 445 信息性
SSH 22 22
SQL Server 1433 1434 信息性
Syslog 601 514 信息性
Telnet 23 23
WINS 1512、42 1512、42 信息性