CVSS (Common Vulnerability Scoring System) to międzynarodowy standard służący do oceny stopnia zagrożenia związanego z lukami w zabezpieczeniach oprogramowania i systemów.
Spis treści
System CVSS wykorzystuje kryteria niezależne od dostawców oraz znormalizowaną metodologię punktacji, aby w spójny i ilościowy sposób określić poziom zagrożenia związanego z luką w zabezpieczeniach.
Opierając się na obiektywnych wskaźnikach, a nie na interpretacjach poszczególnych dostawców, system CVSS pozwala organizacjom porównywać luki w zabezpieczeniach w różnych produktach, środowiskach i branżach przy użyciu wspólnego języka.
Celem systemu CVSS jest ułatwienie organizacjom spójnej oceny, porównywania i ustalania priorytetów luk w zabezpieczeniach w oparciu o ich poziom zagrożenia. Wyniki CVSS stanowią uporządkowany wkład w zarządzanie lukami w zabezpieczeniach oraz podejmowanie decyzji dotyczących działań naprawczych opartych na ocenie ryzyka.
Każdej luce w zabezpieczeniach przypisuje się ocenę liczbową w skali od 0,0 do 10,0, która jest również powiązana z jakościowymi poziomami ważności:
Ze względu na swoje znormalizowane podejście system CVSS jest powszechnie stosowany przez zespoły ds. bezpieczeństwa, dostawców, osoby zajmujące się reagowaniem na incydenty oraz bazy danych luk w zabezpieczeniach jako główny punkt odniesienia przy ustalaniu priorytetów działań naprawczych.
System CVSS jest utrzymywany przez grupę specjalistyczną CVSS (CVSS-SIG) działającą w ramach organizacji FIRST (Forum of Incident Response and Security Teams). FIRST to międzynarodowa organizacja zajmująca się cyberbezpieczeństwem, której celem jest usprawnienie reagowania na incydenty oraz koordynacji działań związanych z lukami w zabezpieczeniach na całym świecie.
Od momentu wprowadzenia system CVSS był wielokrotnie aktualizowany, aby uwzględnić zmiany w technologii i sytuacji w zakresie zagrożeń. Ostatnia znacząca aktualizacja została ogłoszona w lipcu 2023 r., a system CVSS v4.0 oficjalnie wprowadzono w listopadzie 2023 r., co stanowiło znaczący krok naprzód w sposobie oceny poziomu zagrożenia luk w zabezpieczeniach.
FIRST opisuje CVSS jako system służący do zapewnienia „ustandaryzowanego podejścia do oceny wagi luk w zabezpieczeniach oraz wspierania organizacji w ustalaniu priorytetów działań naprawczych”.
— FIRST (Forum zespołów ds. reagowania na incydenty i bezpieczeństwa)
CVSS v4.0 to najnowsza główna wersja systemu CVSS, stworzona w celu wyeliminowania ograniczeń strukturalnych występujących we wcześniejszych wersjach. Zwiększa to dokładność oceny, ogranicza niejasności i rozszerza zakres zastosowania poza tradycyjne środowiska informatyczne.
Najbardziej znacząco, CVSS v4.0 wprowadza wyraźniejsze rozdzielenie metryk, większą szczegółowość ocen oraz wyraźne wsparcie dla technologii operacyjnych (OT), systemów kontroli przemysłowej (ICS) oraz środowisk IoT, odzwierciedlając sposób, w jaki nowoczesne organizacje faktycznie działają.
System CVSS v4.0 składa się z czterech grup wskaźników, które oceniają poziom zagrożenia z różnych perspektyw. Grupy te można łączyć w celu obliczenia wyników dostosowanych do konkretnych przypadków użycia.
Cztery grupy danych to:
Każda grupa służy odrębnemu celowi w ramach procesów oceny luk w zabezpieczeniach i reagowania.
Metryki Podstawowe mierzą wewnętrzny stopień zagrożenia podatności, niezależnie od warunków zewnętrznych. Oceny te uwzględniają zarówno trudność eksploatacji podatności, jak i potencjalny wpływ, jeśli dojdzie do eksploatacji.
Metryki Podstawowe są zazwyczaj oceniane przez dostawcę produktu i, raz zdefiniowane, pozostają stabilne w czasie. W CVSS v4.0 metryki te zostały udoskonalone w celu poprawy przejrzystości i szczegółowości, umożliwiając dokładniejsze ocenianie stopnia zagrożenia.
Wskaźniki zagrożeń służą do oceny, jak aktywnie dana luka jest wykorzystywana w rzeczywistych warunkach. Ta grupa wskaźników skupia się na tym, czy istnieje kod wykorzystujący lukę oraz czy zaobserwowano przypadki wykorzystania tej luki w rzeczywistych warunkach.
Ponieważ aktywność zagrożeń zmienia się w czasie, wskaźniki zagrożeń mają z natury charakter dynamiczny i są zazwyczaj oceniane przez użytkowników informacji o podatnościach w oparciu o dane wywiadowcze dotyczące zagrożeń oraz kontekst operacyjny.
Najważniejsze kwestie to:
Wskaźniki środowiskowe dostosowują poziom podatności do konkretnego środowiska organizacji. Stanowią one podstawę poufności, integralności i dostępności danego systemu w danej organizacji.
W związku z tym wyniki wskaźników środowiskowych mogą się znacznie różnić w zależności od roli systemu, wpływu na działalność i ograniczeń operacyjnych.
Dodatkowe wskaźniki dostarczają dodatkowych informacji kontekstowych wspierających podejmowanie decyzji dotyczących reagowania na luki w zabezpieczeniach. Chociaż nie wpływają one na obliczenia wyników CVSS, oferują cenne informacje do planowania działań naprawczych.
Przykłady czynników uwzględnianych w jednostkach metrycznych uzupełniających to:
Te wskaźniki pomagają organizacjom przejść od oceny ważności do praktycznego planowania reakcji.
System CVSS v4.0 obsługuje wiele typów punktów na podstawie różnych kombinacji grup metrycznych. Pozwala to organizacjom ocenić stopień podatności na zagrożenia z punktu widzenia punktu wyjściowego, środowiska i zagrożeń w czasie rzeczywistym.
Główne rodzaje wyników CVSS to:
Na przykład organizacje oceniające stopień podatności we własnym środowisku zazwyczaj polegają na systemie CVSS-BE, natomiast organizacje korzystające z aktywnej analizy zagrożeń korzystają z systemu CVSS-BTE.
Oprogramowanie CVSS v4.0 zostało opracowane z myślą o dobrze udokumentowanych wyzwaniach związanych z oprogramowaniem CVSS v3.1. Z czasem system CVSS w wersji 3.1 stał się coraz bardziej niezgodny z nowoczesnymi systemami i warunkami zagrożeń.
PIERWSZY zidentyfikował kilka kluczowych problemów, w tym:
Wyzwania systemu CVSS v3.1 opublikowane przez FIRST, podsumowane i przetłumaczone dla jasności.
Aktualizacje wprowadzone w systemie CVSS v4.0 sprawiają, że ocenianie luk w zabezpieczeniach jest bardziej precyzyjne, możliwe do wykorzystania i istotne. Każda zmiana jest bezpośrednio związana z ograniczeniem określonym w poprzednich wersjach.
Kluczowe usprawnienia obejmują:
FIRST zauważa, że system CVSS v4.0 został zaprojektowany tak, aby „lepiej odzwierciedlać rzeczywiste warunki eksploatacji i nowoczesne architektury systemów”.
Najważniejszym ulepszeniem systemu CVSS v4.0 jest jego wyraźne uwzględnienie w środowiskach technologii operacyjnych (OT). Jest to pierwsza wersja CVSS, która formalnie uwzględnia luki w zabezpieczeniach, które mogą mieć implikacje w zakresie bezpieczeństwa fizycznego.
Ponieważ transformacja cyfrowa nadal zaciera granicę między IT i OT, luki w zabezpieczeniach systemów przemysłowych mogą bezpośrednio wpływać na produkcję, bezpieczeństwo i życie ludzkie. CVSS v4.0 odzwierciedla tę rzeczywistość, uwzględniając wskaźniki bezpieczeństwa i kwestie dotyczące wpływu na środowisko.
Aby efektywnie korzystać z systemu CVSS v4.0, organizacje muszą dostosować praktyki zarządzania lukami w zabezpieczeniach, uwzględniając zarówno rzeczywistość IT, jak i OT. Podczas gdy system CVSS v4.0 poprawia widoczność, nadal występują wyzwania związane z reagowaniem — szczególnie w środowiskach OT.
Kluczowe różnice to:
Bez personelu, który rozumie zarówno konteksty IT, jak i OT, organizacje mogą mieć trudności z samodzielnym wykorzystaniem informacji o lukach w zabezpieczeniach.
Widoczność zasobów OT i zapobieganie wykorzystywaniu luk w zabezpieczeniach są niezbędne, gdy tradycyjne poprawki nie są praktyczne. Organizacje muszą najpierw zrozumieć, jakie zasoby OT posiadają, zanim będą mogły zarządzać powiązanymi lukami w zabezpieczeniach.
Skuteczne ograniczanie ryzyka podatności OT zazwyczaj obejmuje:
Te mechanizmy kontroli pomagają zapobiegać wykorzystywaniu i zmniejszać ryzyko nawet wtedy, gdy nie można usunąć luk w zabezpieczeniach za pomocą poprawek.
Trend Vision One™ oferuje rozwiązanie do zarządzania ekspozycją na ryzyko cybernetyczne (CREM), które wykracza poza podstawową ocenę CVSS, aby pomóc organizacjom zrozumieć, priorytetyzować i zmniejszać ryzyko na całej powierzchni ataku. Łączy ocenę stopnia zagrożenia podatności z informacjami o zagrożeniach w czasie rzeczywistym oraz analizą kontekstualną ryzyka, umożliwiając zespołom bezpieczeństwa podejmowanie szybszych i bardziej inteligentnych decyzji.
Takie podejście integruje kluczowe funkcje, takie jak Attack Surface Management, Vulnerability Management i Security Posture Assessment w środowiskach IT, OT, chmurowych i hybrydowych. Nie chodzi tylko o identyfikowanie luk w zabezpieczeniach – chodzi o przekształcanie informacji w praktyczne kroki, które wzmacniają odporność i minimalizują narażenie.
Dzięki rozwiązaniu do zarządzania ekspozycją na ryzyko cybernetyczne możesz:
Fernando Cardoso jest wiceprezesem ds. zarządzania produktami w Trend Micro, skupiając się na stale zmieniającym się świecie sztucznej inteligencji i chmury. Rozpoczął karierę jako inżynier ds. sieci i sprzedaży, gdzie doskonalił swoje umiejętności w centrach danych, chmurze, DevOps i cyberbezpieczeństwie — obszarach, które nadal napędzają jego pasję.
CVSS to skrót od Common Vulnerability Scoring System. Jest to ujednolicona struktura służąca do pomiaru stopnia luk w zabezpieczeniach oprogramowania i systemów. System CVSS zapewnia oceny liczbowe, które pomagają organizacjom w spójnym porównywaniu luk w zabezpieczeniach oraz ustalaniu priorytetów działań naprawczych.
Wynik CVSS to wartość liczbowa odzwierciedlająca stopień zagrożenia związanego z daną luką w zabezpieczeniach. Wyniki mieszczą się w przedziale od 0,0 do 10,0, przy czym wyższe wyniki wskazują na większe ryzyko. Wyniki te są zazwyczaj klasyfikowane jako niskie, średnie, wysokie lub krytyczne.
Wyniki CVSS są wykorzystywane przez zespoły ds. bezpieczeństwa, dostawców oraz bazy danych luk w zabezpieczeniach na całym świecie. Organizacje polegają na nich przy ustalaniu priorytetów wdrażania poprawek, kierowaniu działaniami w odpowiedzi na incydenty oraz podejmowaniu decyzji dotyczących zarządzania podatnościami w oparciu o ryzyko w różnorodnych środowiskach.
Wersja CVSS v4.0 zapewnia większą dokładność i szersze zastosowanie w porównaniu z wersją CVSS v3.1. Zapewnia większą szczegółowość oceny, upraszcza ocenę zagrożeń oraz rozszerza zakres działania na środowiska OT, ICS i IoT, jednocześnie ograniczając niejasności związane z oceną.
W modelu C VSS v4.0 uwzględniono cztery grupy wskaźników, które służą do oceny poziomu zagrożenia z różnych perspektyw. Są to wskaźniki podstawowe, wskaźniki zagrożeń, wskaźniki środowiskowe oraz wskaźniki uzupełniające, które łącznie umożliwiają bardziej uwzględniającą kontekst ocenę poziomu zagrożenia.