logo
Sanasto CVSS (Common Vulnerability Scoring System)

CVSS (Yhteinen haavoittuvuuksien pisteytysjärjestelmä)

TL;DR

CVSS on standardi tapa ilmaista kuinka vakava tietoturva-aukko on. Se antaa jokaiselle haavoittuvuudelle pisteet 0

10
, jotta tiimit tietävät, mitä korjata ensin.

Ajattele sitä näin:

  • 0.0 → Ei ongelmaa
  • 10.0 → Jätä kaikki ja korjaa se nyt

Mikä on CVSS?

CVSS on ilmainen, laajalti käytetty pisteytysjärjestelmä tietoturva-aukkojen arviointiin. Sitä ylläpitää teollisuusryhmä nimeltä FIRST, ja sitä käyttää käytännössä jokainen tietoturva-alalla.

Jokainen haavoittuvuus saa numeron välillä 0.0 ja 10.0 perustuen asioihin kuten:

  • Kuinka helppo sitä on hyödyntää
  • Voidaanko siihen hyökätä etänä
  • Kuinka paljon vahinkoa se voi aiheuttaa?

Yksinkertaisesti sanottuna:CVSS on lämpömittari ohjelmistovirheille.

Miksi CVSS on tärkeä

Ilman CVSS

jokainen kuvailisi vakavuutta eri tavoin. Yksi toimittaja saattaisi sanoa, että virhe on “kriittinen”, kun taas toinen kutsuu sitä “keskitasoiseksi”. CVSS antaa kaikille yhteisen kielen.

Se on tärkeä, koska:

  • Se kertoo tiimeille, mitä korjata ensin Useimmat yritykset asettavat sääntöjä kuten: “Kaikki yli 9.0 on korjattava 48 tunnin kuluessa.”
  • Sitä käyttävät haavoittuvuustietokannat Kansallinen haavoittuvuustietokanta (NVD) antaa CVSS-pisteet lähes jokaiselle CVE
    , mikä mahdollistaa työkalujen automaattisesti lajitella tuhansia ongelmia.
  • Se poistaa arvailun Sen sijaan, että kiisteltäisiin siitä, kuinka vakavalta virhe tuntuu, CVSS pakottaa tarkastelemaan konkreettisia tekijöitä kuten hyödynnettävyys ja vaikutus.

Kuinka CVSS toimii

CVSS

on kolme erilaista pistetyyppiä. Useimmiten näet vain ensimmäisen.

1. Peruspisteet (se, jota kaikki käyttävät)

Tämä mittaa, kuinka vakava haavoittuvuus on itsessään, riippumatta siitä, missä se on otettu käyttöön.

Se tarkastelee kysymyksiä kuten:

  • Voidaanko tätä hyödyntää internetin kautta?
  • Onko se helppo vai vaikea toteuttaa?
  • Tarvitseeko hyökkääjä kirjautumistiedot?
  • Tarvitseeko heidän huijata käyttäjää?
  • Mitä tapahtuu, jos sitä hyödynnetään? (tietovarkaus, järjestelmän haltuunotto, käyttökatko)

Tämä on se pistemäärä, jonka yleensä näet CVE-listauksissa.

2. Ajankohtaiset pisteet (joskus käytetty)

Tämä säätää pistemäärää sen perusteella, mitä tapahtuu juuri nyt.

Esimerkiksi:

  • Onko julkista hyödyntämiskoodia? (Pisteet nousevat)
  • Onko korjaus saatavilla? (Pisteet laskevat)

3. Ympäristöpisteet (edistynyt, valinnainen)

Tämä mukauttaa pistemäärän sinun ympäristöösi.

Esimerkiksi:

  • Onko järjestelmä vain sisäisessä käytössä? (Vähemmän vakava)
  • Sisältääkö se asiakastietoja? (Vakavampi)

Todellinen esimerkki: Log4j

Log4j (Log4Shell) on yksi tunnetuimmista haavoittuvuuksista koskaan.

Sen CVSS-pistemäärä oli 10.0 (Kriittinen).

Miksi?

  • Sitä voitiin hyödyntää etänä
  • Se ei vaatinut kirjautumista
  • Se oli helppo hyödyntää
  • Se mahdollisti koko järjestelmän kompromissin

Kuka käyttää CVSS
?

  • Ohjelmistotoimittajat selittämään, kuinka vakava bugi on
  • Turvatiimit keskittymään vaarallisimpiin ongelmiin
  • Tarkastajat tarkistamaan, onko haavoittuvuudet korjattu ajoissa

CVSS-pistemäärien vaihteluvälit (v3.1)

Näin numerot yleensä kääntyvät:

  • 0.0 → Ei ongelmaa
  • 0.1–3.9 → Matala (korjaa myöhemmin)
  • 4.0–6.9 → Keskitaso (korjaa pian)
  • 7.0–8.9 → Korkea (korjaa kiireellisesti)
  • 9.0–10.0 → Kriittinen (korjaa välittömästi)

Parhaat käytännöt (Tärkeää)

  • Älä luota pelkästään CVSS
     CVSS mittaa vakavuutta, ei riskiä. Kriittinen virhe palvelimella, joka on pois päältä, ei ole todellinen uhka.
  • Yhdistä CVSS todennäköisyyteen Yhdistä CVSS EPSS kanssa nähdäksesi, mitkä virheet ovat todennäköisesti hyödynnettäviä.
  • Säädä ympäristöösi Virhe testipalvelimella ei ole sama kuin virhe tuotantotietokannassa.
  • Tunne versiot CVSS v4.0 on olemassa, mutta v3.1 on edelleen yleisimmin käytetty.

Vältä hälytysväsymystä

Turvallisuusongelmien löytäminen on hyödyllistä vain, jos tiimisi tietää mitä korjata ensin. Satojen hälytysten kaataminen insinöörien niskaan ei paranna turvallisuutta; se luo hälytysväsymystä

Plexicus auttaa sijoittamalla haavoittuvuudet tärkeysjärjestykseen, jotta tiimisi voi keskittyä siihen, mikä todella merkitsee. Sen sijaan, että käsittelisit jokaista ongelmaa samalla tavalla, Plexicus käyttää muutamia yksinkertaisia mittareita ohjaamaan priorisointia.

1) Prioriteetti

Mitä se tarkoittaa: Kuinka kiireellinen tämä ongelma todella on

Prioriteetti on pistemäärä 0

100
, joka yhdistää kaiken yhdeksi numeroksi:

  • Tekninen vakavuus (CVSS v4)
  • Liiketoiminnallinen vaikutus
  • Kuinka todennäköistä on, että sitä hyödynnetään

Tämä on sinun toimintalistasi. Lajittele Prioriteetin mukaan ja aloita ylhäältä.

  • Prioriteetti 85 → Jätä kaikki ja korjaa tämä nyt
  • Prioriteetti 45 → Tärkeä, mutta voi odottaa seuraavaan sprinttiin

Esimerkki

SQL-injektio-ongelma sisäisessä työkalussa, joka:

  • On käytettävissä vain yrityksen VPN
    kautta
  • Ei tallenna arkaluonteisia tietoja

Pisteet:

  • CVSS v4: 8.2 (teknisesti vakava)
  • Liiketoimintavaikutus: 45 (sisäinen työkalu, rajallinen altistus)
  • Hyödynnettävyyden saatavuus: 30 (vaatii kirjautumisen)
  • Prioriteetti: 48

Miksi prioriteetti on tärkeä

Jos katsot vain CVSS-pistettä, saatat panikoida, koska 8.2 kuulostaa pelottavalta. Prioriteetti asettaa ongelman kontekstiin ja sanoo: “Tämä on todellinen, mutta ei kiireellinen. Korjaa se seuraavassa sprintissä.”

Tämä pitää tiimit keskittyneinä todelliseen riskiin sen sijaan, että reagoitaisiin jokaiseen korkeaan CVSS-pisteeseen.

2) Vaikutus

Mitä se tarkoittaa: Kuinka pahaksi asiat menevät, jos tämä hyödynnetään

Vaikutus pisteytetään 0

100
 ja se heijastaa liiketoiminnallisia seurauksia, ei pelkästään teknisiä. Se tarkastelee asioita kuten:

  • Onko asiakastietoja mukana?
  • Onko tämä järjestelmä kriittinen toiminnalle?
  • Onko olemassa vaatimustenmukaisuus- tai sääntelyriskejä?

Esimerkki

  • SQL-injektio julkisessa asiakastietokannassa → Vaikutus 95
  • Sama ongelma sisäisessä testausympäristössä → Vaikutus 30

Sama virhe, hyvin erilainen liiketoimintariski.

3) EPSS

Mitä se tarkoittaa: Kuinka todennäköistä on, että hyökkääjät hyödyntävät tätä

EPSS ennustaa todennäköisyyden, että haavoittuvuutta hyödynnetään todellisessa maailmassa seuraavien 30 päivän aikana. Se vaihtelee 0.0

1.0
.

Esimerkki

  • Vanha haavoittuvuus, jonka CVSS on 9.0, mutta ei aktiivisia hyökkäyksiä → EPSS 0.01
  • Uudempi haavoittuvuus, jonka CVSS on 6.0 ja jota hyökkääjät käyttävät aktiivisesti → EPSS 0.85

EPSS auttaa keskittymään siihen, mikä hyökkääjiä kiinnostaa juuri nyt, ei vain siihen, mikä näyttää pahalta paperilla.

Kuinka käyttää näitä mittareita Plexicuksessa

  1. Yhdistä arkistosi ja odota, että skannaus valmistuu
  2. Siirry Findings-sivulle
  3. Lajittele ja suodata Priority-kohdan mukaan päättääksesi, mitä korjata ensin

plexicus-priority-remediation

Liittyvät termit

CVSS FAQ

Mikä on korkein CVSS-pistemäärä?

10.0. Se tarkoittaa, että bugi on helppo hyödyntää ja aiheuttaa suurta vahinkoa.

Onko 9.0 aina pahempi kuin 7.0?

Paperilla kyllä. Todellisuudessa ei aina. 7.0, jota hyödynnetään aktiivisesti, voi olla vaarallisempi kuin 9.0, jota kukaan ei käytä.

Kuka asettaa CVSS-pistemäärän?

Yleensä ohjelmistotoimittaja tai NVD. Joskus tietoturvatutkijat tekevät sen.

Voinko muuttaa CVSS-pistemäärää sisäisesti?

Kyllä. Monet tiimit säätävät pisteitä heijastamaan todellista ympäristöään, erityisesti jos heillä on vahvat suojaukset käytössä.

Seuraavat askeleet

Valmis turvaamaan sovelluksesi? Valitse polkusi eteenpäin.

Aloita ilmainen kokeilu

Kokeile Plexicusta riskittömästi 14 päivän ajan

Näytä hinnoittelu

Läpinäkyvä hinnoittelu kaikenkokoisille tiimeille

Liity yhteisöön

Liity globaaliin yhteisöömme

Lue dokumentaatio

Lue kattava dokumentaatiomme

Liity yli 500 yritykseen, jotka jo turvaavat sovelluksensa Plexicuksen avulla

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready