CVSS (מערכת ניקוד פגיעויות משותפת)
בקצרה
CVSS היא דרך סטנדרטית לומר כמה חמורה בעיית אבטחה. היא נותנת לכל פגיעות ציון מ-0 עד 10 כך שצוותים ידעו מה לתקן קודם.
תחשבו על זה כך:
- 0.0 → אין בעיה
- 10.0 → עזוב הכל ותקן את זה עכשיו
מה זה CVSS?
CVSS היא מערכת ניקוד חינמית ונפוצה לפגיעויות אבטחה. היא מתוחזקת על ידי קבוצה תעשייתית בשם FIRST, והיא בשימוש כמעט על ידי כולם בתחום האבטחה.
כל פגיעות מקבלת מספר בין 0.0 ל-10.0 בהתבסס על דברים כמו:
- כמה קל לנצל אותה
- האם ניתן לתקוף אותה מרחוק
- כמה נזק היא יכולה לגרום?
במילים פשוטות: CVSS הוא מדחום לבאגים בתוכנה.
למה CVSS חשוב
ללא CVSS, כל אחד היה מתאר חומרה בצורה שונה. ספק אחד עשוי לומר שבאג הוא “קריטי”, בעוד אחר יקרא לו “בינוני”. CVSS נותן לכולם שפה משותפת.
זה חשוב כי:
- זה אומר לצוותים מה לתקן קודם רוב החברות קובעות כללים כמו: “כל דבר מעל 9.0 חייב להיות מתוקן תוך 48 שעות.”
- זה בשימוש על ידי מאגרי פגיעויות מאגר הפגיעויות הלאומי (NVD) מקצה ציוני CVSS כמעט לכל CVE, מה שמאפשר לכלים למיין אוטומטית אלפי בעיות.
- זה מסיר ניחושים במקום להתווכח על כמה רע מרגיש באג, CVSS מכריח אותך להסתכל על גורמים קונקרטיים כמו יכולת ניצול והשפעה.
איך CVSS עובד
CVSS כולל שלושה סוגי ציונים. רוב הזמן, תראו רק את הראשון.
1. ציון בסיסי (זה שכולם משתמשים בו)
זה מודד כמה חמורה הפגיעות בפני עצמה, ללא קשר למקום שבו היא נפרסת.
הוא מתייחס לשאלות כמו:
- האם ניתן לנצל זאת דרך האינטרנט?
- האם זה קל או קשה לביצוע?
- האם התוקף צריך להתחבר?
- האם הם צריכים להטעות משתמש?
- מה קורה אם זה מנוצל? (גניבת נתונים, השתלטות על מערכת, השבתה)
זהו הציון שאתם בדרך כלל רואים ברשימות CVE.
2. ציון זמני (משתמשים בו לפעמים)
זה מתאם את הציון על בסיס מה שקורה כרגע.
לדוגמה:
- האם יש קוד ניצול ציבורי? (הציון עולה)
- האם יש תיקון זמין? (הציון יורד)
3. ציון סביבתי (מתקדם, אופציונלי)
זה מתאים את הציון לסביבה שלכם.
לדוגמה:
- האם המערכת פנימית בלבד? (פחות חמור)
- האם היא מחזיקה נתוני לקוחות? (יותר חמור)
דוגמה אמיתית: Log4j
Log4j (Log4Shell) היא אחת הפגיעויות המפורסמות ביותר אי פעם.
ציון ה-CVSS שלה היה 10.0 (קריטי).
למה?
- ניתן היה לנצל אותה מרחוק
- לא נדרש התחברות
- היה קל לנצל
- אפשרה השתלטות מלאה על המערכת
מי משתמש ב-CVSS?
- ספקי תוכנה כדי להסביר כמה חמור הבאג
- צוותי אבטחה כדי להתמקד בנושאים המסוכנים ביותר
- מבקרים כדי לבדוק האם הפגיעויות תוקנו בזמן
טווחי ציוני CVSS (v3.1)
כך בדרך כלל מתורגמים המספרים:
- 0.0 → אין בעיה
- 0.1–3.9 → נמוך (לתקן מאוחר יותר)
- 4.0–6.9 → בינוני (לתקן בקרוב)
- 7.0–8.9 → גבוה (לתקן בדחיפות)
- 9.0–10.0 → קריטי (לתקן מיידית)
שיטות עבודה מומלצות (חשוב)
- אל תסתמך על CVSS בלבד CVSS מודד חומרה, לא סיכון. באג קריטי בשרת כבוי אינו איום ממשי.
- שלב CVSS עם סבירות שלב CVSS עם EPSS כדי לראות אילו באגים סביר להניח שינוצלו.
- התאם לסביבתך באג בשרת בדיקה אינו זהה לבאג בבסיס נתונים בייצור.
- דע את הגרסאות CVSS v4.0 קיים, אך v3.1 עדיין הנפוץ ביותר כיום.
הימנע מעייפות התראות
מציאת בעיות אבטחה מועילה רק אם הצוות שלך יודע מה לתקן קודם. השלכת מאות התראות על מהנדסים אינה משפרת את האבטחה; היא יוצרת עייפות התראות.
Plexicus עוזר על ידי דירוג פגיעויות כך שהצוות שלך יוכל להתמקד במה שבאמת חשוב. במקום להתייחס לכל בעיה באותו אופן, Plexicus משתמש בכמה מדדים פשוטים להנחיית סדרי עדיפויות.
1) עדיפות
מה זה אומר: כמה דחופה הבעיה באמת
עדיפות היא ציון מ-0 עד 100 שמאגד הכל למספר אחד:
- חומרה טכנית (CVSS v4)
- השפעה עסקית
- כמה סביר שהיא תנוצל
זהו רשימת הפעולות שלך. מיין לפי עדיפות והתחל מהחלק העליון.
- עדיפות 85 → להפסיק הכל ולתקן את זה עכשיו
- עדיפות 45 → חשוב, אבל יכול לחכות עד הספרינט הבא
דוגמה
בעיה של הזרקת SQL בכלי פנימי ש:
- נגיש רק דרך ה-VPN של החברה
- לא מאחסן נתונים רגישים
ציונים:
- CVSS v4: 8.2 (טכנית חמורה)
- השפעה עסקית: 45 (כלי פנימי, חשיפה מוגבלת)
- זמינות ניצול: 30 (דורש התחברות)
- עדיפות: 48
למה עדיפות חשובה
אם הייתם מסתכלים רק על ציון ה-CVSS, אולי הייתם נבהלים כי 8.2 נשמע מפחיד. העדיפות שמה את הבעיה בהקשר ואומרת: “זה אמיתי, אבל לא דחוף. לתקן את זה בספרינט הבא.”
זה שומר על הצוותים ממוקדים בסיכון האמיתי במקום להגיב לכל ציון CVSS גבוה.
2) השפעה
מה זה אומר: כמה גרוע המצב אם זה ינוצל
ההשפעה מדורגת מ-0 עד 100 ומשקפת את ההשלכות העסקיות, לא רק את הטכניות. היא בוחנת דברים כמו:
- האם נתוני לקוחות מעורבים?
- האם המערכת קריטית לפעילות?
- האם יש סיכונים של ציות או רגולציה?
דוגמה
- הזרקת SQL בבסיס נתונים ציבורי של לקוחות → השפעה 95
- אותה בעיה בסביבת בדיקה פנימית → השפעה 30
אותה באג, סיכון עסקי שונה מאוד.
3) EPSS
מה זה אומר: כמה סביר שתוקפים ינצלו את זה
EPSS מנבא את הסיכוי שפגיעות תנוצל בעולם האמיתי בתוך 30 הימים הבאים. הוא נע בין 0.0 ל-1.0.
דוגמה
- פגיעות ישנה עם CVSS 9.0 אך ללא התקפות פעילות → EPSS 0.01
- פגיעות חדשה יותר עם CVSS 6.0 שהתקפים משתמשים בה באופן פעיל → EPSS 0.85
EPSS עוזר לך להתמקד במה שמעניין את התוקפים כרגע, ולא רק במה שנראה רע על הנייר.
כיצד להשתמש במדדים אלה ב-Plexicus
- חבר את המאגר שלך והמתן לסיום הסריקה
- עבור לדף ה-Findings
- מיין וסנן לפי Priority כדי להחליט מה לתקן קודם
מונחים קשורים
- CVE (Common Vulnerabilities and Exposures)
- EPSS (Exploit Prediction Scoring System)
- ניהול פגיעויות
- NVD (National Vulnerability Database)
שאלות נפוצות על CVSS
מהו הציון הגבוה ביותר של CVSS?
10.0. זה אומר שהבאג קל לניצול וגורם לנזק משמעותי.
האם 9.0 תמיד גרוע יותר מ-7.0?
על הנייר, כן. במציאות, לא תמיד. 7.0 שמנוצל באופן פעיל יכול להיות מסוכן יותר מ-9.0 שאף אחד לא משתמש בו.
מי קובע את ציון ה-CVSS?
בדרך כלל, ספק התוכנה או ה-NVD. לפעמים חוקרי אבטחה עושים זאת.
האם אני יכול לשנות ציון CVSS באופן פנימי?
כן. צוותים רבים מתאימים ציונים כדי לשקף את המצב בעולם האמיתי, במיוחד אם יש להם הגנות חזקות במקום.