Co to jest CVSS (Common Vulnerability Scoring System)?

tball

CVSS (Common Vulnerability Scoring System) to międzynarodowy standard służący do oceny stopnia zagrożenia związanego z lukami w zabezpieczeniach oprogramowania i systemów.

System CVSS wykorzystuje kryteria niezależne od dostawców oraz znormalizowaną metodologię punktacji, aby w spójny i ilościowy sposób określić poziom zagrożenia związanego z luką w zabezpieczeniach.

Opierając się na obiektywnych wskaźnikach, a nie na interpretacjach poszczególnych dostawców, system CVSS pozwala organizacjom porównywać luki w zabezpieczeniach w różnych produktach, środowiskach i branżach przy użyciu wspólnego języka.

Jaki jest cel CVSS?

Celem systemu CVSS jest ułatwienie organizacjom spójnej oceny, porównywania i ustalania priorytetów luk w zabezpieczeniach w oparciu o ich poziom zagrożenia. Wyniki CVSS stanowią uporządkowany wkład w zarządzanie lukami w zabezpieczeniach oraz podejmowanie decyzji dotyczących działań naprawczych opartych na ocenie ryzyka.

Każdej luce w zabezpieczeniach przypisuje się ocenę liczbową w skali od 0,0 do 10,0, która jest również powiązana z jakościowymi poziomami ważności:

  • Niskie
  • Średnie
  • Wysokie
  • Krytyczna

Ze względu na swoje znormalizowane podejście system CVSS jest powszechnie stosowany przez zespoły ds. bezpieczeństwa, dostawców, osoby zajmujące się reagowaniem na incydenty oraz bazy danych luk w zabezpieczeniach jako główny punkt odniesienia przy ustalaniu priorytetów działań naprawczych.

Kto utrzymuje system CVSS i jak się rozwinął?

System CVSS jest utrzymywany przez grupę specjalistyczną CVSS (CVSS-SIG) działającą w ramach organizacji FIRST (Forum of Incident Response and Security Teams). FIRST to międzynarodowa organizacja zajmująca się cyberbezpieczeństwem, której celem jest usprawnienie reagowania na incydenty oraz koordynacji działań związanych z lukami w zabezpieczeniach na całym świecie.

Od momentu wprowadzenia system CVSS był wielokrotnie aktualizowany, aby uwzględnić zmiany w technologii i sytuacji w zakresie zagrożeń. Ostatnia znacząca aktualizacja została ogłoszona w lipcu 2023 r., a system CVSS v4.0 oficjalnie wprowadzono w listopadzie 2023 r., co stanowiło znaczący krok naprzód w sposobie oceny poziomu zagrożenia luk w zabezpieczeniach.

FIRST opisuje CVSS jako system służący do zapewnienia „ustandaryzowanego podejścia do oceny wagi luk w zabezpieczeniach oraz wspierania organizacji w ustalaniu priorytetów działań naprawczych”.
— FIRST (Forum zespołów ds. reagowania na incydenty i bezpieczeństwa)

Czym jest CVSS v4.0 i dlaczego jest to ważne?

CVSS v4.0 to najnowsza główna wersja systemu CVSS, stworzona w celu wyeliminowania ograniczeń strukturalnych występujących we wcześniejszych wersjach. Zwiększa to dokładność oceny, ogranicza niejasności i rozszerza zakres zastosowania poza tradycyjne środowiska informatyczne.

Najbardziej znacząco, CVSS v4.0 wprowadza wyraźniejsze rozdzielenie metryk, większą szczegółowość ocen oraz wyraźne wsparcie dla technologii operacyjnych (OT), systemów kontroli przemysłowej (ICS) oraz środowisk IoT, odzwierciedlając sposób, w jaki nowoczesne organizacje faktycznie działają.

Jakie grupy wskaźników tworzą CVSS w wersji 4.0?

System CVSS v4.0 składa się z czterech grup wskaźników, które oceniają poziom zagrożenia z różnych perspektyw. Grupy te można łączyć w celu obliczenia wyników dostosowanych do konkretnych przypadków użycia.

Cztery grupy danych to:

  • Podstawowe wskaźniki: pomiar wewnętrznej wagi luki w zabezpieczeniach
  • Wskaźniki zagrożeń: odzwierciedlenie rzeczywistych działań wykorzystujących luki
  • Wskaźniki środowiskowe: dostosowywanie ważności w oparciu o kontekst organizacyjny
  • Dodatkowe wskaźniki: Zapewnienie dodatkowego kontekstu związanego z odpowiedzią

Każda grupa służy odrębnemu celowi w ramach procesów oceny luk w zabezpieczeniach i reagowania.

image-what-is-cvss

Co to są Metryki Podstawowe CVSS?

Metryki Podstawowe mierzą wewnętrzny stopień zagrożenia podatności, niezależnie od warunków zewnętrznych. Oceny te uwzględniają zarówno trudność eksploatacji podatności, jak i potencjalny wpływ, jeśli dojdzie do eksploatacji.

Metryki Podstawowe są zazwyczaj oceniane przez dostawcę produktu i, raz zdefiniowane, pozostają stabilne w czasie. W CVSS v4.0 metryki te zostały udoskonalone w celu poprawy przejrzystości i szczegółowości, umożliwiając dokładniejsze ocenianie stopnia zagrożenia.

Co to są Metryki Zagrożeń CVSS?

Wskaźniki zagrożeń służą do oceny, jak aktywnie dana luka jest wykorzystywana w rzeczywistych warunkach. Ta grupa wskaźników skupia się na tym, czy istnieje kod wykorzystujący lukę oraz czy zaobserwowano przypadki wykorzystania tej luki w rzeczywistych warunkach.

Ponieważ aktywność zagrożeń zmienia się w czasie, wskaźniki zagrożeń mają z natury charakter dynamiczny i są zazwyczaj oceniane przez użytkowników informacji o podatnościach w oparciu o dane wywiadowcze dotyczące zagrożeń oraz kontekst operacyjny.

Najważniejsze kwestie to:

  • Dostępność kodu exploit
  • Dowody aktywnego lub powszechnego wykorzystania

Co to są Metryki Środowiskowe CVSS?

Wskaźniki środowiskowe dostosowują poziom podatności do konkretnego środowiska organizacji. Stanowią one podstawę poufności, integralności i dostępności danego systemu w danej organizacji.

W związku z tym wyniki wskaźników środowiskowych mogą się znacznie różnić w zależności od roli systemu, wpływu na działalność i ograniczeń operacyjnych.

Co to są Metryki Dodatkowe CVSS?

Dodatkowe wskaźniki dostarczają dodatkowych informacji kontekstowych wspierających podejmowanie decyzji dotyczących reagowania na luki w zabezpieczeniach. Chociaż nie wpływają one na obliczenia wyników CVSS, oferują cenne informacje do planowania działań naprawczych.

Przykłady czynników uwzględnianych w jednostkach metrycznych uzupełniających to:

  • Poziom automatyzacji ataków
  • Złożoność procesu odzyskiwania
  • Wysiłek wymagany do przywrócenia wadliwych systemów

Te wskaźniki pomagają organizacjom przejść od oceny ważności do praktycznego planowania reakcji.

Jakie rodzaje wyników CVSS istnieją w systemie CVSS v4.0?

System CVSS v4.0 obsługuje wiele typów punktów na podstawie różnych kombinacji grup metrycznych. Pozwala to organizacjom ocenić stopień podatności na zagrożenia z punktu widzenia punktu wyjściowego, środowiska i zagrożeń w czasie rzeczywistym.

Główne rodzaje wyników CVSS to:

  • CVSS-B – Tylko wynik podstawowy
  • CVSS-BE — baza + środowisko
  • CVSS-BT — Podstawa + Zagrożenie
  • CVSS-BTE — baza + zagrożenie + środowisko

Na przykład organizacje oceniające stopień podatności we własnym środowisku zazwyczaj polegają na systemie CVSS-BE, natomiast organizacje korzystające z aktywnej analizy zagrożeń korzystają z systemu CVSS-BTE.

image-what-is-cvss

Co się zmieniło w CVSS v4.0 w porównaniu z CVSS v3.1?

Oprogramowanie CVSS v4.0 zostało opracowane z myślą o dobrze udokumentowanych wyzwaniach związanych z oprogramowaniem CVSS v3.1. Z czasem system CVSS w wersji 3.1 stał się coraz bardziej niezgodny z nowoczesnymi systemami i warunkami zagrożeń.

PIERWSZY zidentyfikował kilka kluczowych problemów, w tym:

  • Zależność od wyników podstawowych do analizy ryzyka
  • Ograniczony wpływ wskaźników tymczasowych (obecnie zagrożenia)
  • Niewystarczające przedstawienie zagrożeń w czasie rzeczywistym
  • Słabe zastosowanie w systemach OT, ICS i kluczowych dla bezpieczeństwa
  • Nadmierne grupowanie wyników w zakresach „Wysoki” i „Krytyczny”
  • Ograniczona szczegółowość punktacji
  • Złożona i nieintuicyjna metodologia oceniania

Wyzwania systemu CVSS v3.1 opublikowane przez FIRST, podsumowane i przetłumaczone dla jasności.

Jak te zmiany poprawiają CVSS w wersji 4.0?

Aktualizacje wprowadzone w systemie CVSS v4.0 sprawiają, że ocenianie luk w zabezpieczeniach jest bardziej precyzyjne, możliwe do wykorzystania i istotne. Każda zmiana jest bezpośrednio związana z ograniczeniem określonym w poprzednich wersjach.

Kluczowe usprawnienia obejmują:

  • Zwiększona szczegółowość w podstawowych wskaźnikach
  • Usuwanie niejednoznacznej logiki punktacji dalszej
  • Uproszczone wskaźniki zagrożeń z większym wpływem punktacji
  • Wprowadzenie dodatkowych wskaźników wsparcia reagowania
  • Rozszerzone zastosowanie do środowisk OT, ICS i IoT

FIRST zauważa, że system CVSS v4.0 został zaprojektowany tak, aby „lepiej odzwierciedlać rzeczywiste warunki eksploatacji i nowoczesne architektury systemów”.

Dlaczego rozszerzony zakres OT jest najważniejszą zmianą w CVSS v4.0?

Najważniejszym ulepszeniem systemu CVSS v4.0 jest jego wyraźne uwzględnienie w środowiskach technologii operacyjnych (OT). Jest to pierwsza wersja CVSS, która formalnie uwzględnia luki w zabezpieczeniach, które mogą mieć implikacje w zakresie bezpieczeństwa fizycznego.

Ponieważ transformacja cyfrowa nadal zaciera granicę między IT i OT, luki w zabezpieczeniach systemów przemysłowych mogą bezpośrednio wpływać na produkcję, bezpieczeństwo i życie ludzkie. CVSS v4.0 odzwierciedla tę rzeczywistość, uwzględniając wskaźniki bezpieczeństwa i kwestie dotyczące wpływu na środowisko.

W jaki sposób organizacje powinny efektywnie korzystać z systemu CVSS w wersji 4.0?

Aby efektywnie korzystać z systemu CVSS v4.0, organizacje muszą dostosować praktyki zarządzania lukami w zabezpieczeniach, uwzględniając zarówno rzeczywistość IT, jak i OT. Podczas gdy system CVSS v4.0 poprawia widoczność, nadal występują wyzwania związane z reagowaniem — szczególnie w środowiskach OT.

Kluczowe różnice to:

  • Systemy OT priorytetowo traktują dostępność i bezpieczeństwo nad poprawkami
  • Środowiska wdrażania są często zamknięte i zarządzane przez dostawców
  • Wprowadzanie poprawek może być niemożliwe lub celowo pomijane

Bez personelu, który rozumie zarówno konteksty IT, jak i OT, organizacje mogą mieć trudności z samodzielnym wykorzystaniem informacji o lukach w zabezpieczeniach.

Dlaczego widoczność zasobów OT i zapobieganie im są kluczowe?

Widoczność zasobów OT i zapobieganie wykorzystywaniu luk w zabezpieczeniach są niezbędne, gdy tradycyjne poprawki nie są praktyczne. Organizacje muszą najpierw zrozumieć, jakie zasoby OT posiadają, zanim będą mogły zarządzać powiązanymi lukami w zabezpieczeniach.

Skuteczne ograniczanie ryzyka podatności OT zazwyczaj obejmuje:

  • Kompleksowe wykrywanie zasobów OT
  • Ciągłe monitorowanie ruchu sieciowego
  • Czujniki i narzędzia do monitorowania przeznaczone dla sieci OT
  • Wirtualne poprawki za pomocą systemów zapobiegania włamaniom (IPS) opartych na technologii OT

Te mechanizmy kontroli pomagają zapobiegać wykorzystywaniu i zmniejszać ryzyko nawet wtedy, gdy nie można usunąć luk w zabezpieczeniach za pomocą poprawek.

Gdzie mogę uzyskać pomoc w ustalaniu priorytetów w zakresie CVSS i ryzyka luk w zabezpieczeniach?

Trend Vision One™ oferuje rozwiązanie do zarządzania ekspozycją na ryzyko cybernetyczne (CREM), które wykracza poza podstawową ocenę CVSS, aby pomóc organizacjom zrozumieć, priorytetyzować i zmniejszać ryzyko na całej powierzchni ataku. Łączy ocenę stopnia zagrożenia podatności z informacjami o zagrożeniach w czasie rzeczywistym oraz analizą kontekstualną ryzyka, umożliwiając zespołom bezpieczeństwa podejmowanie szybszych i bardziej inteligentnych decyzji.

Takie podejście integruje kluczowe funkcje, takie jak Attack Surface Management, Vulnerability Management i Security Posture Assessment w środowiskach IT, OT, chmurowych i hybrydowych. Nie chodzi tylko o identyfikowanie luk w zabezpieczeniach – chodzi o przekształcanie informacji w praktyczne kroki, które wzmacniają odporność i minimalizują narażenie.

Dzięki rozwiązaniu do zarządzania ekspozycją na ryzyko cybernetyczne możesz:

  • Uzyskać wgląd w najważniejsze zasoby i luki w zabezpieczeniach
  • Ustalać priorytety działań naprawczych w oparciu o rzeczywiste ryzyko, a nie tylko teoretyczne wyniki
  • Ograniczyć ryzyko nadużyć poprzez proaktywne strategie ograniczania ryzyka
fernando

Vice President of Product Management

pen

Fernando Cardoso jest wiceprezesem ds. zarządzania produktami w Trend Micro, skupiając się na stale zmieniającym się świecie sztucznej inteligencji i chmury. Rozpoczął karierę jako inżynier ds. sieci i sprzedaży, gdzie doskonalił swoje umiejętności w centrach danych, chmurze, DevOps i cyberbezpieczeństwie — obszarach, które nadal napędzają jego pasję.

Często zadawane pytania (FAQ)

Expand all Hide all

Co oznacza skrót CVSS w dziedzinie cyberbezpieczeństwa?

add

CVSS to skrót od Common Vulnerability Scoring System. Jest to ujednolicona struktura służąca do pomiaru stopnia luk w zabezpieczeniach oprogramowania i systemów. System CVSS zapewnia oceny liczbowe, które pomagają organizacjom w spójnym porównywaniu luk w zabezpieczeniach oraz ustalaniu priorytetów działań naprawczych.

Co to jest punktacja CVSS?

add

Wynik CVSS to wartość liczbowa odzwierciedlająca stopień zagrożenia związanego z daną luką w zabezpieczeniach. Wyniki mieszczą się w przedziale od 0,0 do 10,0, przy czym wyższe wyniki wskazują na większe ryzyko. Wyniki te są zazwyczaj klasyfikowane jako niskie, średnie, wysokie lub krytyczne.

Kto używa wyników CVSS?

add

Wyniki CVSS są wykorzystywane przez zespoły ds. bezpieczeństwa, dostawców oraz bazy danych luk w zabezpieczeniach na całym świecie. Organizacje polegają na nich przy ustalaniu priorytetów wdrażania poprawek, kierowaniu działaniami w odpowiedzi na incydenty oraz podejmowaniu decyzji dotyczących zarządzania podatnościami w oparciu o ryzyko w różnorodnych środowiskach.

Jaka jest różnica między CVSS v3.1 a CVSS v4.0?

add

Wersja CVSS v4.0 zapewnia większą dokładność i szersze zastosowanie w porównaniu z wersją CVSS v3.1. Zapewnia większą szczegółowość oceny, upraszcza ocenę zagrożeń oraz rozszerza zakres działania na środowiska OT, ICS i IoT, jednocześnie ograniczając niejasności związane z oceną.

Jakie są grupy metryczne w systemie CVSS v4.0?

add

W modelu C VSS v4.0 uwzględniono cztery grupy wskaźników, które służą do oceny poziomu zagrożenia z różnych perspektyw. Są to wskaźniki podstawowe, wskaźniki zagrożeń, wskaźniki środowiskowe oraz wskaźniki uzupełniające, które łącznie umożliwiają bardziej uwzględniającą kontekst ocenę poziomu zagrożenia.