search close

Платформа
- Платформа Trend Vision One
  - Платформа Trend Vision One
    - Trend Vision One™
      
      Платформа
      
      Объедините защиту от угроз и управление киберрисками
      Узнать больше
  - Trend Vision One Marketplace
    - Trend Vision One™
      
      Marketplace
      
      Ознакомьтесь с одобренными Trend партнерскими решениями для нашей ведущей платформы
      Узнать больше
  - Варианты развертывания
    - Trend Vision One™
      
      Варианты развертывания
      
      Ваша среда, ваш выбор — разверните Trend Vision One™ как SaaS или в своей инфраструктуре
      Посмотреть
- Управление киберрисками
  - Trend Vision One™
    
    Cyber Risk Exposure Management (CREM)
    
    Лидер в области управления рисками, предлагающий надежную и проактивную безопасность на условиях полной прозрачности
    Узнать больше
- Обеспечение безопасности
  - Trend Vision One™
    
    SecOps: операции безопасности
    
    Злоумышленникам негде будет скрыться, поскольку аналитика от XDR, агентский SIEM и агентский SOAR обеспечивают полную прозрачность всей вашей среды.
    Узнать больше
- Cloud Security
  - Cloud Security
    - Trend Vision One™
      
      Безопасность облака
      
      Самая надежная платформа облачной безопасности для разработчиков, специалистов по безопасности и бизнес-процессов
      Узнать больше
  - Cyber Risk Exposure Management для облака
    - Cyber Risk Exposure Management для облака
      
      Обнаружение облачных активов, приоритизация уязвимостей, управление состоянием безопасности и управление поверхностью атаки — все в одном
      Узнать больше
  - XDR для облака
    - Trend Vision One™
      
      XDR для облака
      
      Улучшенный мониторинг облака и оптимизация расследований SOC.
      Узнать больше
  - Безопасность рабочих нагрузок
    - Trend Vision One™
      
      Безопасность рабочих нагрузок
      
      Защитите свой дата-центр, облако и контейнеры без ущерба для производительности с помощью платформы облачной безопасности, предоставляющей возможности CNAPP
      Узнать больше
  - Безопасность контейнеров
    - Trend Vision One™
      
      Безопасность контейнеров
      
      Упростите обеспечение безопасности своих облачных приложений с помощью расширенного сканирования образов контейнеров, контроля допуска на основе политик и защиты контейнеров во время выполнения.
      Узнать больше
  - File Security
    - Trend Vision One™
      
      Безопасность файлов
      
      Защита облачных хранилищ и рабочих процессов приложений от сложных угроз
      Узнать больше
  - Управление рисками в облаке
    - Trend Vision One™
      
      Управление рисками в облаке
      
      Обеспечивайте централизованную видимость в мультиоблачной среде, устраняйте скрытые угрозы и защищайте свое будущее
      Узнать больше
  - Безопасность кода
    - Trend Vision One™
      
      Безопасность кода
      
      Проактивная защита на каждом этапе жизненного цикла разработки программного обеспечения
      Узнать больше
- Endpoint Security
  - Endpoint Security
    - Trend Vision One™
      
      Безопасность конечных точек
      
      Защита конечных устройств на всех стадиях атаки
      Узнать больше
  - XDR для конечных устройств
    - Trend Vision One™
      
      XDR для конечных устройств
      
      Быстрее останавливайте злоумышленников благодаря широкому охвату и лучшему пониманию контекста для более оперативного отслеживания, обнаружения, расследования и реагирования на угрозы с единой платформы
      Узнать больше
  - Workload Security
    - Trend Vision One™
      
      Безопасность рабочих нагрузок
      
      Оптимизированное предотвращение, обнаружение и реагирование для конечных устройств, серверов и облачных рабочих нагрузок
      Узнать больше
- Сетевая безопасность
  - Сетевая безопасность
    - Trend Vision One™
      
      Безопасность сети
      
      Расширяет возможности XDR, обнаруживая сетевые угрозы и реагируя на них
      Узнать больше
  - XDR для сети (NDR)
    - Trend Vision One™
      
      XDR для сети (NDR)
      
      Быстрее останавливайте злоумышленников благодаря широкому охвату и лучшему пониманию контекста для более оперативного отслеживания, обнаружения, расследования и реагирования на угрозы с единой платформы
      Узнать больше
  - Предотвращение сетевых вторжений (IPS)
    - Предотвращение сетевых вторжений (IPS)
      
      Защита от известных, неизвестных и нераскрытых уязвимостей в сети
      Узнать больше
  - Zero Trust Secure Access (ZTSA)
    - Zero Trust Secure Access (ZTSA)
      - Trend Vision One™
        
        Zero Trust Secure Access (ZTSA)
        
        Непрерывная оценка рисков для постоянного переопределения уровня доверия и безопасной цифровой трансформации
        Узнать больше
    - AI Secure Access
      - AI Secure Access
        
        Обеспечьте централизованную прозрачность и управление всеми сервисами, пользователями и взаимодействиями с генеративным ИИ
        Узнать больше
  - Безопасность сетей 5G
    - Безопасность сетей 5G
      Узнать больше
  - Безопасность промышленных сетей
    - Безопасность промышленных сетей
      Узнать больше
- Безопасность электронной почты и решений для совместной работы
  - Trend Vision One™
    
    Безопасность электронной почты и решений для совместной работы
    
    Защититесь от фишинга, BEC-атак, программ-вымогателей и мошенничества с помощью средств безопасности электронной почты на базе ИИ, которые помогают быстро, легко и точно останавливать угрозы
    Узнать больше
- Анализ угроз
  - Trend Vision One™
    
    Аналитические данные по угрозам
    
    Упреждайте возможные угрозы
    Узнать больше
- Identity Security
  - Trend Vision One™
    
    Безопасность идентификационных данных
    
    Сквозная защита учетных записей — от управления идентификацией до обнаружения и реагирования
    Узнать больше
- Безопасность данных
  - Trend Vision One™
    
    Безопасность данных
    
    Предотвращение утечек данных благодаря централизованной прозрачности, интеллектуальной приоритизации рисков и возможности быстрого реагирования
    Узнать больше
- Безопасность ИИ
  - Безопасность ИИ
    - ИИ в Trend
      
      Откройте для себя ИИ-решения, разработанные для защиты вашего предприятия, обеспечения комплаенса и поддержки ответственных инноваций
      Узнать больше
  - Безопасность для ИИ-стеков
    - Безопасность для ИИ-стеков
      
      Защитите внедряемые ИИ-решения и устраните уязвимости до атаки, чтобы уверенно создавать инновации
      Узнать больше
  - ИИ-экосистема
    - ИИ-экосистема
      
      Формирование будущего кибербезопасности с помощью инноваций на базе ИИ, лидерства в области регулирования и надежных стандартов
      Узнать больше
  - Проактивная безопасность на базе ИИ
    - Проактивная безопасность на базе ИИ
      
      Укрепите свою защиту с помощью первого в отрасли ИИ для проактивной кибербезопасности — без слепых зон и сюрпризов.
      Проактивная безопасность на базе ИИ
  - Trend Cybertron
    - Trend Cybertron
      
      Первый в отрасли ИИ для проактивной кибербезопасности
      Trend Cybertron
  - Trend Companion
    - Trend Companion
      
      Беспрецедентная широта и глубина данных, высококачественный анализ, курирование и разметка данных позволяют получать действенную аналитическую информацию.
      Узнать больше
  - ИИ-фабрика
    - ИИ-фабрика
      
      Ускорение развертывания корпоративных ИИ-решений на основе безопасности, комплаенса и доверия
      Узнать больше
  - Цифровой двойник
    - Цифровой двойник
      
      Цифровые двойники высокой точности обеспечивают прогнозное планирование, стратегические инвестиции и оптимизацию устойчивости
      Узнать больше
- Все продукты, услуги и пробные версии
  - Все продукты, услуги и пробные версии
    Узнать больше
Решения
- По отраслям
  - По отраслям
    - По отраслям
      Узнать больше
  - Здравоохранение
    - Здравоохранение
      
      Защитите данные пациентов, устройства и сети, одновременно обеспечивая соответствие регуляторным требованиям
      Узнать больше
  - Автопром
    - Автопром
      Узнать больше
  - Сети 5G
    - Сети 5G
      Узнать больше
- Безопасность малого и среднего бизнеса
  - Безопасность малого и среднего бизнеса
    
    Устраняйте угрозы с помощью простых в использовании решений, идеально подходящих для развивающегося бизнеса
    Узнать больше
- Киберстрахование
  - Киберстрахование
    - Киберстрахование
      
      Киберстрахование на страже цифровой безопасности и конфиденциальности
      Узнать больше
  - Услуги по предотвращению инцидентов
    - Услуги по предотвращению инцидентов
      
      Укрепите кибербезопасность с помощью услуг по оценке готовности к инцидентам
      Узнать больше
  - Страхуемость
    - Страхуемость
      
      Как Trend помогает с киберстрахованием с помощью важных инструментов
      Узнать больше
  - Консультанты по инцидентам безопасности
    - Консультанты по инцидентам безопасности
      
      Минимум рисков и максимум безопасности при поддержке эксперта
      Узнать больше
  - Планирование реагирования на инциденты
    - Планирование реагирования на инциденты
      
      Переиграйте киберпреступников, подготовив план реагирования на инциденты
      Узнать больше
  - Invision Cyber
    - Invision Cyber
      
      Интеллектуальная защита на основе рисков, адаптированная к вашей уникальной системе безопасности
      Узнать больше
Исследования
- Исследования
  - Исследования
    - Исследования
      Узнать больше
  - Исследования, новости и тенденции
    - Исследования, новости и тенденции
      Узнать больше
  - Исследования и анализ
    - Исследования и анализ
      Узнать больше
  - Новости о безопасности
    - Новости о безопасности
      Узнать больше
  - Zero Day Initiatives (ZDI, «Инициатива нулевого дня»)
    - Zero Day Initiatives (ZDI, «Инициатива нулевого дня»)
      Узнать больше
Обслуживание
- Наши сервисы
  - Наши сервисы
    - Наши сервисы
      
      Расширьте свою команду, положившись на надежных и круглосуточно доступных экспертов по кибербезопасности для прогнозирования, предотвращения и сдерживания атак.
      Узнать больше
  - Пакеты сервисов
    - Пакеты сервисов
      
      Облегчите работу специалистам по безопасности, предоставив им круглосуточное управляемое обнаружение, реагирование и поддержку
      Узнать больше
  - Cyber Risk Advisory
    - Cyber Risk Advisory
      
      Оценка, понимание и снижение киберрисков с помощью стратегических рекомендаций
      Узнать больше
  - Управляемое обнаружение и реагирование (MDR)
    - Управляемое обнаружение и реагирование (MDR)
      
      Дополнительные возможности обнаружения и реагирования (MDR) для электронной почты, конечных точек, серверов, облачных вычислений и сетей.
      Узнать больше
  - Реагирование на инциденты
    - Реагирование на инциденты
      - Реагирование на инциденты
        
        Если нарушена кибербезопасность или вы хотите проактивно улучшить планы реагирования на инциденты, — в любом случае наши надежные эксперты немедленно вам помогут.
        Узнать больше
    - Страховые компании и юридические фирмы
      - Страховые компании и юридические фирмы
        
        Предотвращение утечек данных с помощью лучших на рынке технологий реагирования и обнаружения, а также уменьшение времени простоя и издержек клиентов
        Узнать больше
  - Службы поддержки
    - Службы поддержки
      Узнать больше
  - Red Teaming и Purple Teaming
    - Red Teaming и Purple Teaming
      
      Прогоняйте реальные сценарии атак, чтобы повысить готовность и укрепить защиту
      Узнать больше
Партнеры
- Партнерская программа
  - Партнерская программа
    - Обзор партнерских программ
      
      Развивайте свой бизнес и защищайте клиентов с помощью лучшей в своем классе многоуровневой системы безопасности
      Узнать больше
  - Компетенции партнеров
    - Компетенции партнеров
      
      Покажите клиентам, чего вы стоите — подтвердите свои компетенции и продемонстрируйте экспертные знания
      Узнать больше
  - Успехи партнеров
    - Успехи партнеров
      Узнать больше
  - Поставщики услуг
    - Поставщики услуг
      
      Предоставление проактивных услуг безопасности на единой, удобной для партнеров платформе безопасности, созданной для поставщиков управляемых услуг, поставщиков управляемых услуг безопасности и команд по цифровой криминалистике и реагированию на инциденты
      Узнать больше
- Партнеры по альянсу
  - Партнеры по альянсу
    - Партнеры по альянсу
      
      Мы работаем с лучшими в своем деле, чтобы помочь вам повысить производительность и эффективность
      Узнать больше
  - Технологические партнеры по альянсу
    - Партнеры по альянсам и технологиям
      Узнать больше
  - Найти партнеров по альянсу
    - Найти партнеров по альянсу
      Узнать больше
- Информация для партнеров
  - Информация для партнеров
    - Информация для партнеров
      
      Станьте партнером Trend Micro и откройте для себя ресурсы, которые помогут росту вашего бизнеса и расширят ваши возможности
      Узнать больше
  - Вход на портал для партнеров
    - Вход на портал для партнеров
      Войти
  - Trend Campus
    - Trend Campus
      
      Ускорьте процесс обучения с помощью Trend Campus. Эта простая в использовании образовательная платформа предлагает индивидуальные технические рекомендации.
      Узнать больше
  - Совместные продажи
    - Совместные продажи
      
      Получите доступ к сервисам взаимодействия, которые помогут вам демонстрировать ценность Trend Vision One™ и развивать свой бизнес
      Узнать больше
  - Стать партнером
    - Стать партнером
      Узнать больше
  - Дистрибьюторы
    - Дистрибьюторы
      Узнать больше
- Найти партнеров
  - Найти партнеров
    
    Выберите партнера, у которого вы можете приобрести решения Trend Micro
    Узнать больше
- Trend Vision One Marketplace
  - Trend Vision One™
    
    Marketplace
    
    Ознакомьтесь с одобренными Trend партнерскими решениями для нашей ведущей платформы
    Узнать больше
Компания
- Преимущества Trend Micro
  - Преимущества Trend Micro
    - Преимущества Trend Micro
      Узнать больше
  - Истории успеха наших пользователей
    - Истории успеха наших пользователей
      Узнать больше
  - Человеческие отношения
    - Человеческие отношения
      Узнать больше
  - Признание в отрасли
    - Признание в отрасли
      Узнать больше
  - Стратегические альянсы
    - Стратегические альянсы
      Узнать больше
- Сравнение Trend Micro
  - Сравнение Trend Micro
    - Сравнение Trend Micro
      
      Узнать, как Trend выигрывает у конкурентов
      Вперед!
  - с CrowdStrike
    - Trend Micro или CrowdStrike
      
      С помощью своей облачной платформы CrowdStrike эффективно обеспечивает кибербезопасность, однако высокие цены могут не устроить организации, которым требуется экономически выгодная масштабируемость на основе полноценной единой платформы.
      Вперед!
  - с Microsoft
    - Trend Micro или Microsoft
      
      Microsoft предлагает базовый уровень защиты, но для обеспечения полной безопасности клиентов часто необходимы дополнительные решения.
      Вперед!
  - с Palo Alto Networks
    - Trend Micro или Palo Alto Networks
      
      Компания Palo Alto предлагает передовые решения кибербезопасности, но ориентироваться в их комплексном наборе довольно сложно, к тому же для получения доступа ко всем возможностям требуются значительные инвестиций
      Вперед!
  - по сравнению с SentinelOne
    - Trend Micro по сравнению с SentinelOne
      Вперед!
- О нас
  - О нас
    - О нас
      Узнать больше
  - Центр доверия
    - Центр доверия
      Узнать больше
  - История
    - История
      Узнать больше
  - Разнообразие, равенство и инклюзивность
    - Разнообразие, равенство и инклюзивность
      Узнать больше
  - Корпоративная социальная ответственность
    - Корпоративная социальная ответственность
      Узнать больше
  - Руководство
    - Руководство
      Узнать больше
  - Эксперты в области безопасности
    - Эксперты в области безопасности
      Узнать больше
  - Образовательная программа в области безопасного интернета и кибербезопасности
    - Образовательная программа в области безопасного интернета и кибербезопасности
      Узнать больше
  - Нормативные аспекты
    - Нормативные аспекты
      Узнать больше
  - Инвесторы
    - Инвесторы
      Узнать больше
  - Партнерство с Формулой-1
    - Партнерство с Формулой-1
      
      Официальный партнер команды McLaren в Формуле-1
      Узнать больше
- Свяжитесь с нами
  - Свяжитесь с нами
    - Свяжитесь с нами
      Узнать больше
  - Events
    - Events
      Узнать больше
  - Карьера
    - Карьера
      Узнать больше
  - Вебинары
    - Вебинары
      Узнать больше
- Истории клиентов
  - Истории клиентов
    - Истории успеха наших пользователей
      
      Реальные истории и кейсы о том, как клиенты по всему миру используют Trend для прогнозирования, предотвращения, обнаружения и реагирования на угрозы.
      Узнать больше
  - Влияние экологического, социального и корпоративного управления
    - Влияние экологического, социального и корпоративного управления
      
      Узнайте, как киберустойчивость привела к измеримым положительным результатам, более эффективной защите и устойчивой производительности.
      Узнать больше
  - Голос клиента
    - Голос клиента
      
      Читайте отзывы наших пользователей. Опираясь на их идеи, мы улучшаем наши решения и непрестанно совершенствуемся.
      Узнать больше
  - Человеческие отношения
    - Человеческие отношения
      
      Познакомьтесь с людьми, отвечающими за вашу защиту и цифровое благополучие.
      Узнать больше

Вас атакуют?

Поддержка

Ресурсы

Войти

arrow_back

search close

Что такое CVSS (Common Vulnerability Scoring System)?

Фернандо Кардосо

- Последнее обновление 2026/02/05

CVSS (Common Vulnerability Scoring System) — это международный стандарт для измерения серьезности уязвимостей в программном обеспечении и системах.

Узнать больше

Содержание

keyboard_arrow_down

CVSS использует критерии, не зависящие от поставщика, и стандартизированную методологию оценки для количественного выражения серьезности уязвимости.

Опираясь на объективные показатели, а не интерпретацию конкретных поставщиков, CVSS позволяет организациям сравнивать уязвимости в разных продуктах, средах и отраслях, используя стандартные формулировки.

Какова цель CVSS?

Цель CVSS — помочь организациям последовательно оценивать, сравнивать и приоритизировать уязвимости в зависимости от степени серьезности. Оценки CVSS — это структурированный показатель, который можно использовать для управления уязвимостями и принятия решений по устранению рисков.

Каждой уязвимости присваивается балл от 0,0 до 10,0, который сопоставляется с уровнями серьезности:

Низкий
Средний
Высокий
Критический

Благодаря стандартизированному подходу CVSS широко используется специалистами по безопасности, вендорами, службами реагирования на инциденты и базами данных уязвимостей в качестве основного источника информации для приоритизации исправлений.

Кто поддерживает CVSS и как он развивался?

CVSS поддерживается рабочей группой CVSS Special Interest Group (CVSS-SIG) в рамках проекта Forum of Incident Response and Security Teams (FIRST). FIRST — это международная организация кибербезопасности, которая занимается улучшением реагирования на инциденты и координацией уязвимостей по всему миру.

С момента своего внедрения стандарт CVSS претерпел несколько редакций, отражающих изменения в технологиях и ландшафтах угроз. Последнее крупное обновление было объявлено в июле 2023 года, а стандарт CVSS v4.0 официально вышел в ноябре 2023, ознаменовав значительное изменение в оценке серьезности уязвимостей.

FIRST описывает CVSS как систему, разработанную для обеспечения «стандартизированного подхода к оценке серьезности уязвимостей и помощи организациям в приоритизации усилий по реагированию».
— FIRST (Forum of Incident Response and Security Teams)

Что такое CVSS v4.0 и почему он важен?

CVSS v4.0 — это последняя основная версия стандарта CVSS, в которой устранены структурные ограничения более ранних версий. Он обеспечивает более точную и недвусмысленную оценку и может применяться не только в традиционных ИТ-средах.

Что особенно важно, CVSS v4.0 обеспечивает более четкое разделение метрик, большую детализацию оценки и явную поддержку операционных технологий, промышленных систем управления и Интернета вещей, которые широко применяются современными организациями.

Какие группы метрик составляют CVSS v4.0?

Стандарт CVSS v4.0 состоит из четырех групп метрик, которые оценивают серьезность уязвимостей с разных точек зрения. Эти группы можно объединять для расчета баллов в конкретных сценариях использования.

Четыре группы метрик:

Базовые метрики — измерение степени серьезности уязвимости.
Метрики угроз — отражение текущего состояния эксплуатации уязвимостей.
Контекстные метрики — оценка степени серьезности в зависимости от организационного контекста.
Дополнительные метрики — предоставление дополнительного контекста, связанного с реагированием.

Каждая группа служит конкретной цели в оценке уязвимостей и рабочих процессах реагирования.

Что такое базовые метрики CVSS?

Базовые метрики измеряют степень серьезности уязвимости независимо от внешних условий. Они оценивают как сложность эксплуатации уязвимости, так и потенциальное воздействие эксплуатации.

Базовые метрики обычно оцениваются поставщиком продукта и не меняются с течением времени. В редакции CVSS v4.0 базовые метрики были уточнены для внесения ясности и повышения детализации, что позволяет получить более точную оценку степени серьезности.

Что такое метрики угроз CVSS?

Метрики угроз оценивают, насколько активно уязвимость используется в реальных условиях. Эта группа фокусируется на том, существует ли код эксплойта и наблюдается ли эксплойт в реальных условиях.

Поскольку активность угроз со временем меняется, метрики угроз по своей природе динамичны и, как правило, оцениваются потребителями на основе аналитики угроз и операционного контекста.

Ключевые факторы:

Доступность кода эксплойта.
Признаки активной или широко распространенной эксплуатации.

Что такое контекстные метрики CVSS?

Контекстные метрики адаптируют серьезность уязвимостей к конкретной среде организации. Они учитывают, насколько важна затронутая система для обеспечения конфиденциальности, целостности и доступности в конкретной организации.

Оценки в этой группе во многом зависят от роли системы, влияния на бизнес и операционных ограничений.

Что такое дополнительные метрики CVSS?

Дополнительные метрики предоставляют дополнительную контекстную информацию для поддержки решений по реагированию на уязвимости. Хотя они не влияют на расчеты баллов CVSS, они предоставляют ценную информацию для планирования устранения последствий.

Примеры факторов, охватываемых дополнительными метриками:

Уровень автоматизации атак.
Сложность восстановления.
Усилия, необходимые для восстановления затронутых систем.

Эти показатели помогают организациям перейти от оценки серьезности к практическому планированию реагирования.

Какие типы оценок CVSS существуют в CVSS v4.0?

CVSS v4.0 поддерживает несколько типов оценок на основе различных комбинаций групп метрик. Это позволяет организациям оценивать степень серьезности уязвимостей с точки зрения базового уровня, контекста и угроз в реальном времени.

Основные типы оценок CVSS:

CVSS-B — только базовая оценка
CVSS-BE — база + контекст.
CVSS-BT — база + угроза.
CVSS-BTE — база + угроза + контекст.

Например, организации, оценивающие серьезность уязвимостей в собственной среде, обычно полагаются на CVSS-BE, а организации, использующие активные аналитические данные об угрозах, применяют CVSS-BTE.

Что изменилось в CVSS v4.0 по сравнению с редакцией 3.1?

Стандарт CVSS v4.0 был разработан для решения хорошо задокументированных проблем в CVSS v3.1. Со временем стандарт CVSS v3.1 перестал соответствовать современным системам и угрозам.

Организация FIRST выявила несколько ключевых проблем, в том числе:

Чрезмерная зависимость от баллов за базовые метрики при анализе рисков.
Ограниченное влияние временных метрик (теперь это метрики угроз).
Недостаточное представление угроз в реальном времени.
Плохая применимость к средам ОТ, промышленным системам управления и критически важным системам безопасности.
Слишком много оценок уровня «Высокий» и «Критический».
Ограниченная детализация оценки.
Сложная и неинтуитивная методология оценки.

Проблемы со стандартом CVSS v3.1, опубликованные FIRST, обобщены и переведены для ясности.

Как изменения улучшили CVSS v4.0?

Корректировки, внесенные в версии CVSS v4.0, позволили повысить точность, применимость и актуальность оценки уязвимости. Каждое изменение направлено на ограничение, выявленное в предыдущих версиях.

Основные улучшения:

Повышение детализации базовых метрик.
Удаление двусмысленной логики последующей оценки.
Упрощенные метрики угроз, получившие больший вес в оценке.
Введение дополнительных метрик для поддержки реагирования.
Расширение применения на среды OT, промышленные системы управления и Интернет вещей.

FIRST отмечает, что стандарт CVSS v4.0 был разработан, чтобы «лучше отражать реальные условия эксплуатации и современные системные архитектуры».

Почему расширенное покрытие OT можно считать наиболее существенным изменением в CVSS v4.0?

Главным усовершенствованием CVSS v4.0 является явное включение в него сред операционных технологий (OT). Это первая версия CVSS, которая официально учитывает уязвимости, способные повлиять на физическую безопасность.

Поскольку цифровая трансформация продолжает размывать границы между ИТ и ОТ, уязвимости в промышленных системах могут напрямую влиять на производство, безопасность и жизнь людей. CVSS v4.0 отражает эту реальность, используя метрики, учитывающие безопасность, и факторы влияния на последующие процессы.

Как организации должны готовиться к эффективному использованию CVSS v4.0?

Чтобы эффективно использовать CVSS v4.0, организации должны адаптировать методы управления уязвимостями для учета реалий ИТ и ОТ. Хотя CVSS v4.0 улучшает видимость, проблемы с реагированием сохраняются, особенно в ОТ-средах.

Основные различия:

В ОТ-системах доступность и безопасность важнее исправлений.
Среды развертывания часто закрыты и управляются поставщиками.
Установка исправлений может быть нецелесообразной или нежелательной.

Без специалистов, которые одинаково хорошо понимают контексты ИТ и ОТ, организациям трудно действовать, опираясь на аналитические данные об уязвимостях.

Почему важно обеспечить видимость ОТ-активов и предотвращение эксплойтов?

Отслеживание ОТ-активов и предотвращение эксплойтов необходимы, когда устанавливать традиционные исправления нецелесообразно. Организации должны сначала понять, какие ОТ-активы у них есть, прежде чем управлять соответствующими уязвимостями.

Эффективное снижение риска уязвимостей в среде ОТ обычно включает:

Комплексное обнаружение активов ОТ.
Непрерывный мониторинг сетевого трафика.
Датчики и инструменты отслеживания для ОТ.
Виртуальное исправление с помощью систем предотвращения вторжений (IPS), ориентированных на ОТ.

Эти средства контроля помогают предотвратить эксплуатацию и снизить риск, даже если уязвимости нельзя устранить путем установки исправлений.

Где получить помощь по CVSS и приоритизации рисков уязвимостей?

Trend Vision One™ предлагает решение Cyber Risk Exposure Management (CREM), которое выходит за рамки базовой оценки CVSS, помогая организациям понимать, приоритизировать и снижать риски по всей поверхности атаки. Она сочетает в себе оценку серьезности уязвимостей, анализ угроз в реальном времени и контекстуальный анализ рисков, позволяя командам безопасности принимать более быстрые и взвешенные решения.

Этот подход объединяет такие ключевые возможности, как управление поверхностями атак, управление уязвимостями и оценка состояния безопасности в ИТ-, ОТ-, облачных и гибридных средах. Речь идет не только о выявлении уязвимостей, но и о превращении аналитических данных в практические меры, которые повышают устойчивость и минимизируют воздействие.

Возможности Cyber Risk Exposure Management:

Отслеживайте свои самые важные активы и уязвимости.
Расставляйте приоритеты на основе реальных рисков, а не только теоретических оценок.
Снижайте вероятность эксплуатации уязвимостей благодаря проактивным стратегиям сокращения рисков.

Узнать больше

Фернандо Кардосо

Вице-президент по управлению продуктами

Фернандо Кардосо занимает должность вице-президента по управлению продуктами в Trend Micro. Особое внимание он уделяет постоянно меняющимся технологиям ИИ и облаков. Он начал карьеру как инженер по сетям и инженер по продажам в сфере центров обработки данных, облака, DevOps и кибербезопасности. Эти темы по-прежнему увлекают его.

Часто задаваемые вопросы

Expand all Hide all

Как расшифровывается CVSS в области кибербезопасности?

add

CVSS расшифровывается как Common Vulnerability Scoring System и переводится как стандартная система оценки уязвимостей. Это стандартизированная структура, используемая для измерения серьезности уязвимостей в программном обеспечении и системах. CVSS предоставляет числовые оценки, которые помогают организациям систематизировано сравнивать уязвимости и приоритизировать усилия по их устранению.

Что такое оценка CVSS?

add

Оценка CVSS — это числовое значение, которое отражает степень серьезности уязвимости. Она варьируется от 0,0 до 10,0 — чем выше значение, тем выше риск. Оценка соотносится с одним из уровней: «Низкий», «Средний», «Высокий» и «Критический».

Кто использует оценки CVSS?

add

Баллы CVSS используются группами безопасности, вендорами и базами данных уязвимостей по всему миру. С их помощью организации приоритизируют меры по исправлению, планируют реагирование на инциденты и принимают решения по управлению уязвимостями на основе рисков в различных средах.

В чем разница между CVSS v3.1 и CVSS v4.0?

add

Версия CVSS v4.0 имеет более высокую точность и широкий охват по сравнению с CVSS v3.1. Она дает более детализированный и недвусмысленный результат, упрощает оценку угроз и применяется к OT, промышленным системам управления и Интернету вещей.

Какие группы метрик входят в CVSS v4.0?

add

Стандарт CVSS v4.0 состоит из четырех групп метрик, которые оценивают серьезность уязвимостей с разных точек зрения. Это базовые метрики, метрики угроз, показатели контекстные метрики и дополнительные метрики. Вместе они помогают оценивать степень серьезности в зависимости от контекста.

Что такое CVSS (Common Vulnerability Scoring System)?

Какова цель CVSS?

Кто поддерживает CVSS и как он развивался?

Что такое CVSS v4.0 и почему он важен?