了解 Amazon Inspector 调查结果的严重性级别 - Amazon Inspector
程序包脆弱性严重性代码脆弱性严重性网络可达性严重性

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解 Amazon Inspector 调查结果的严重性级别

当 Amazon Inspector 生成调查结果时,它会为该发现分配严重性等级。严重性评级可帮助您评估发现结果并确定其优先顺序。发现的严重性等级对应于数字分数和级别:信息性严重。Amazon Inspector 根据发现的类型确定调查结果的严重性等级。本节介绍了 Amazon Inspector 如何确定每种发现类型的严重性评级。

程序包脆弱性严重性

Amazon Inspector 使用的NVD/CVSS score as the basis of severity scoring for software package vulnerabilities. The NVD/CVSS score is the vulnerability severity score published by the NVD and defined by the CVSS. The NVD/CVSS分数是由安全指标组成的,例如攻击复杂度、漏洞利用代码成熟度和所需的权限。Amazon Inspector 会生成一个从 1 到 10 的数字评分,以反映脆弱性的严重性。Amazon Inspector 将其归类为基础评分,因为它根据脆弱性的内在特征反映了脆弱性的严重性,而这些特征不会随着时间的推移改变。该评分还假定了不同部署环境中合理的最坏影响。CVSSv3 标准将CVSS分数映射到以下严重性等级。

评分

评级
0 信息性
0.1—3.9
4.0—6.9
7.0—8.9
9.0—10.0 重大

程序包脆弱性调查发现的严重性也可能是未分类。这意味着供应商尚未为检测到的脆弱性设置脆弱性评分。在这种情况下,我们建议使用发现的参考文献URLs来研究该漏洞并做出相应的响应。

程序包脆弱性调查发现包括以下评分和相关的评分向量,这些都属于调查发现的详细信息:

  • EPSS得分

  • Inspector 分数

  • CVSS3.1 来自亚马逊 CVE

  • CVSS3.1 来自 NVD

  • CVSS2.0 来自NVD(如适用)

代码脆弱性严重性

对于代码漏洞发现,Amazon Inspector 使用生成该发现的亚马逊 CodeGuru 探测器定义的严重性级别。使用 CVSS v3 评分系统为每个探测器分配一个严重性。有关严重性 CodeGuru 使用的说明,请参阅 CodeGuru 指南中的严重性定义。要查看按严重性分列的检测器列表,请从以下支持的编程语言中进行选择:

网络可达性严重性

Amazon Inspector 根据暴露的服务、端口和协议以及开放路径的类型来确定网络可达性脆弱性的严重性。下表定义了这些严重性评级。开放路径评级列中的值表示来自虚拟网关、对等 AWS Direct Connect 网络和网络的VPCs开放路径。所有其他暴露的服务、端口和协议的严重性评级均为“提醒”。

服务

TCP端口

UDP端口

互联网路径评级

开放路径评级
DHCP 67、68、546、547 67、68、546、547 信息性
Elasticsearch 9300、9200 NA 信息性
FTP 21 21
全球目录 LDAP 3268 NA 信息性
全球目录LDAP结束 TLS 3269 NA 信息性
HTTP 80 80 信息性
HTTPS 443 443 信息性
Kerberos 88、464、543、544、749、751 88、464、749、750、751、752 信息性
LDAP 389 389 信息性
LDAP结束了 TLS 636 NA 信息性
MongoDB 27017、27018、27019、28017 NA 信息性
我的 SQL 3306 NA 信息性
Net BIOS 137、139 137、138 信息性
NFS 111、2049、4045、1110 111、2049、4045、1110 信息性
Oracle 1521、1630 NA 信息性
Postgre SQL 5432 NA 信息性
打印服务 515 NA
RDP 3389 3389
RPC 111、135、530 111、135、530 信息性
SMB 445 445 信息性
SSH 22 22
SQL服务器 1433 1434 信息性
Syslog 601 514 信息性
Telnet 23 23
WINS 1512、42 1512、42 信息性