logo
Slovník CVSS (Common Vulnerability Scoring System)

CVSS (Common Vulnerability Scoring System)

TL;DR

CVSS je standardní způsob, jak říci jak špatná je bezpečnostní chyba. Každé zranitelnosti přiděluje skóre od 0 do 10, aby týmy věděly, co opravit jako první.

Představte si to takto:

  • 0.0 → Žádný problém
  • 10.0 → Všeho nechte a opravte to hned

Co je CVSS?

CVSS je bezplatný, široce používaný systém hodnocení bezpečnostních zranitelností. Je udržován průmyslovou skupinou zvanou FIRST a používá ho prakticky každý v oblasti bezpečnosti.

Každá zranitelnost dostane číslo mezi 0.0 a 10.0 na základě věcí jako:

  • Jak snadné je ji zneužít
  • Zda může být napadena na dálku
  • Jaké škody může způsobit?

Jednoduše řečeno: CVSS je teploměr pro softwarové chyby.

Proč je CVSS důležitý

Bez CVSS by každý popisoval závažnost jinak. Jeden dodavatel by mohl říci, že chyba je „kritická“, zatímco jiný ji označí jako „střední“. CVSS poskytuje všem společný jazyk.

Je důležitý, protože:

  • Říká týmům, co opravit jako prvníVětšina společností nastavuje pravidla jako: „Cokoliv nad 9.0 musí být opraveno do 48 hodin.“
  • Používají ho databáze zranitelnostíNárodní databáze zranitelností (NVD) přiděluje CVSS skóre téměř každému CVE, což umožňuje nástrojům automaticky třídit tisíce problémů.
  • Odstraňuje dohadyMísto hádek o tom, jak špatná chyba se zdá, CVSS vás nutí podívat se na konkrétní faktory jako zneužitelnost a dopad.

Jak CVSS funguje

CVSS má tři typy skóre. Většinou uvidíte pouze první z nich.

1. Základní skóre (to, které všichni používají)

To měří, jak špatná je zranitelnost sama o sobě, bez ohledu na to, kde je nasazena.

Zohledňuje otázky jako:

  • Lze to zneužít přes internet?
  • Je to snadné nebo těžké provést?
  • Potřebuje útočník přihlášení?
  • Musí oklamat uživatele?
  • Co se stane, pokud je to zneužito? (krádež dat, převzetí systému, výpadek)

Toto je skóre, které obvykle vidíte v seznamech CVE.

2. Dočasné skóre (někdy používané)

To upravuje skóre na základě toho, co se děje právě teď.

Například:

  • Existuje veřejný exploit kód? (Skóre se zvyšuje)
  • Je k dispozici oprava? (Skóre se snižuje)

3. Environmentální skóre (pokročilé, volitelné)

To přizpůsobuje skóre vašemu prostředí.

Například:

  • Je systém pouze interní? (Méně závažné)
  • Obsahuje zákaznická data? (Více závažné)

Skutečný příklad: Log4j

Log4j (Log4Shell) je jednou z nejslavnějších zranitelností vůbec.

Jeho CVSS skóre bylo 10,0 (Kritické).

Proč?

  • Mohlo být zneužito na dálku
  • Nevyžadovalo přihlášení
  • Bylo snadné ho zneužít
  • Umožňovalo plné převzetí systému

Kdo používá CVSS?

  • Dodavatelé softwaru k vysvětlení, jak vážná je chyba
  • Bezpečnostní týmy k zaměření na nejnebezpečnější problémy
  • Auditoři k ověření, zda jsou zranitelnosti opraveny včas

Rozsahy CVSS skóre (v3.1)

Zde je, jak se obvykle překládají čísla:

  • 0.0 → Žádný problém
  • 0.1–3.9 → Nízká (opravit později)
  • 4.0–6.9 → Střední (opravit brzy)
  • 7.0–8.9 → Vysoká (opravit naléhavě)
  • 9.0–10.0 → Kritická (opravit okamžitě)

Nejlepší postupy (Důležité)

  • Nespoléhejte se pouze na CVSS CVSS měří závažnost, ne riziko. Kritická chyba na serveru, který je vypnutý, není skutečnou hrozbou.
  • Kombinujte CVSS s pravděpodobností Spojte CVSS s EPSS, abyste zjistili, které chyby je skutečně pravděpodobné, že budou zneužity.
  • Přizpůsobte se svému prostředí Chyba na testovacím serveru není totéž jako chyba na produkční databázi.
  • Znáte verze CVSS v4.0 existuje, ale v3.1 je stále nejčastěji používaná dnes.

Vyhněte se únavě z upozornění

Nalezení bezpečnostních problémů je užitečné pouze tehdy, pokud váš tým ví, co opravit jako první. Vyhazování stovek upozornění na inženýry nezlepšuje bezpečnost; vytváří únavu z upozornění

Plexicus pomáhá tím, že řadí zranitelnosti, takže se váš tým může soustředit na to, co je skutečně důležité. Místo toho, aby se ke každému problému přistupovalo stejně, Plexicus používá několik jednoduchých metrik k vedení prioritizace.

1) Priorita

Co to znamená: Jak naléhavý tento problém skutečně je

Priorita je skóre od 0 do 100, které shrnuje vše do jednoho čísla:

  • Technická závažnost (CVSS v4)
  • Obchodní dopad
  • Jak pravděpodobné je, že bude zneužito

Toto je váš seznam akcí. Seřaďte podle priority a začněte odshora.

  • Priorita 85 → Všeho nechat a opravit to hned
  • Priorita 45 → Důležité, ale může počkat do příštího sprintu

Příklad

Problém se SQL injekcí v interním nástroji, který:

  • Je přístupný pouze přes firemní VPN
  • Neuchovává citlivá data

Hodnocení:

  • CVSS v4: 8.2 (technicky vážné)
  • Dopad na podnikání: 45 (interní nástroj, omezená expozice)
  • Dostupnost exploitů: 30 (vyžaduje přihlášení)
  • Priorita: 48

Proč na prioritě záleží

Pokud byste se podívali pouze na skóre CVSS, mohli byste panikařit, protože 8.2 zní děsivě. Priorita dává problém do kontextu a říká: „Tohle je reálné, ale ne naléhavé. Opravte to v příštím sprintu.“

To udržuje týmy zaměřené na skutečné riziko místo reakce na každé vysoké skóre CVSS.

2) Dopad

Co to znamená: Jak špatné to bude, pokud bude zneužito

Dopad je hodnocen od 0 do 100 a odráží obchodní důsledky, nejen technické. Zohledňuje věci jako:

  • Jsou zapojena data zákazníků?
  • Je tento systém kritický pro provoz?
  • Existují rizika spojená s dodržováním předpisů nebo regulacemi?

Příklad

  • SQL injekce ve veřejné zákaznické databázi → Dopad 95
  • Stejný problém v interním testovacím prostředí → Dopad 30

Stejná chyba, velmi odlišné obchodní riziko.

3) EPSS

Co to znamená: Jak pravděpodobné je, že útočníci toto zneužijí

EPSS předpovídá šanci, že zranitelnost bude zneužita v reálném světě během následujících 30 dnů. Pohybuje se v rozmezí 0.0 až 1.0.

Příklad

  • Starší zranitelnost s CVSS 9.0, ale bez aktivních útoků → EPSS 0.01
  • Novější zranitelnost s CVSS 6.0, kterou útočníci aktivně využívají → EPSS 0.85

EPSS vám pomáhá soustředit se na to, co útočníky zajímá právě teď, a ne jen na to, co vypadá špatně na papíře.

Jak používat tyto metriky v Plexicus

  1. Připojte své úložiště a počkejte, až skenování dokončí
  2. Přejděte na stránku Nálezy
  3. Seřaďte a filtrujte podle Priority, abyste rozhodli, co opravit jako první

plexicus-priority-remediation

Související pojmy

CVSS FAQ

Jaké je nejvyšší skóre CVSS?

10.0. Znamená to, že chyba je snadno zneužitelná a způsobuje velké škody.

Je 9.0 vždy horší než 7.0?

Na papíře ano. Ve skutečnosti ne vždy. 7.0, která je aktivně zneužívána, může být nebezpečnější než 9.0, kterou nikdo nevyužívá.

Kdo stanovuje skóre CVSS?

Obvykle dodavatel softwaru nebo NVD. Někdy to dělají bezpečnostní výzkumníci.

Mohu interně změnit skóre CVSS?

Ano. Mnoho týmů upravuje skóre, aby odráželo jejich reálné prostředí, zejména pokud mají silné ochrany.

Další kroky

Připraveni zabezpečit své aplikace? Vyberte si svou cestu vpřed.

Začít bezplatnou zkušební verzi

Vyzkoušejte Plexicus bez rizika na 14 dní

Zobrazit ceny

Transparentní ceny pro týmy všech velikostí

Připojte se ke komunitě

Připojte se k naší globální komunitě

Přečtěte si dokumentaci

Přečtěte si naši komplexní dokumentaci

Připojte se k více než 500 společnostem, které již zabezpečují své aplikace s Plexicus

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready