logo
Ordliste CVSS (Common Vulnerability Scoring System)

CVSS (Common Vulnerability Scoring System)

TL;DR

CVSS er en standard måte å si hvor alvorlig en sikkerhetsfeil er. Det gir hver sårbarhet en score fra 0 til 10 slik at team vet hva de skal fikse først.

Tenk på det slik:

  • 0.0 → Ingen problem
  • 10.0 → Slipp alt og fiks det nå

Hva er CVSS?

CVSS er et gratis, mye brukt poengsystem for sikkerhetssårbarheter. Det vedlikeholdes av en industrigruppe kalt FIRST, og det brukes av praktisk talt alle innen sikkerhet.

Hver sårbarhet får et tall mellom 0.0 og 10.0 basert på ting som:

  • Hvor lett det er å utnytte
  • Om det kan angripes eksternt
  • Hvor mye skade kan det forårsake?

I enkle termer:CVSS er et termometer for programvarefeil.

Hvorfor CVSS er viktig

Uten CVSS ville alle beskrive alvorlighetsgrad forskjellig. En leverandør kan si at en feil er “kritisk,” mens en annen kaller den “middels.” CVSS gir alle et felles språk.

Det er viktig fordi:

  • Det forteller team hva de skal fikse først De fleste selskaper setter regler som: “Alt over 9.0 må fikses innen 48 timer.”
  • Det brukes av sårbarhetsdatabaser Den nasjonale sårbarhetsdatabasen (NVD) tildeler CVSS-score til nesten hver CVE, som lar verktøy automatisk sortere tusenvis av problemer.
  • Det fjerner gjetting I stedet for å krangle om hvor ille en feil føles, tvinger CVSS deg til å se på konkrete faktorer som utnyttbarhet og påvirkning.

Hvordan CVSS fungerer

CVSS har tre typer av poengsummer. For det meste vil du bare se den første.

1. Basispoengsum (den alle bruker)

Dette måler hvor alvorlig sårbarheten er i seg selv, uansett hvor den er distribuert.

Den ser på spørsmål som:

  • Kan dette utnyttes over internett?
  • Er det lett eller vanskelig å gjennomføre?
  • Trenger angriperen en innlogging?
  • Må de lure en bruker?
  • Hva skjer hvis det utnyttes? (datatyveri, systemovertakelse, nedetid)

Dette er poengsummen du vanligvis ser i CVE-oppføringer.

2. Temporær poengsum (noen ganger brukt)

Dette justerer poengsummen basert på hva som skjer akkurat nå.

For eksempel:

  • Finnes det offentlig utnyttelseskode? (Poengsum går opp)
  • Er det en tilgjengelig oppdatering? (Poengsum går ned)

3. Miljøpoengsum (avansert, valgfri)

Dette tilpasser poengsummen til ditt miljø.

For eksempel:

  • Er systemet kun internt? (Mindre alvorlig)
  • Holder det kundedata? (Mer alvorlig)

Et virkelig eksempel: Log4j

Log4j (Log4Shell) er en av de mest kjente sårbarhetene noensinne.

Dens CVSS-poengsum var 10,0 (Kritisk).

Hvorfor?

  • Det kunne utnyttes eksternt
  • Det krevde ingen innlogging
  • Det var lett å utnytte
  • Det tillot full systemkompromittering

Hvem bruker CVSS?

  • Programvareleverandører for å forklare hvor alvorlig en feil er
  • Sikkerhetsteam for å fokusere på de farligste problemene
  • Revisorer for å sjekke om sårbarheter er fikset i tide

CVSS-poengsumområder (v3.1)

Her er hvordan tallene vanligvis oversettes:

  • 0.0 → Ingen problem
  • 0.1–3.9 → Lav (fiks senere)
  • 4.0–6.9 → Middels (fiks snart)
  • 7.0–8.9 → Høy (fiks raskt)
  • 9.0–10.0 → Kritisk (fiks umiddelbart)

Beste Praksis (Viktig)

  • Ikke stol kun på CVSS CVSS måler alvorlighetsgrad, ikke risiko. En kritisk feil på en server som er slått av er ikke en reell trussel.
  • Kombiner CVSS med sannsynlighet Kombiner CVSS med EPSS for å se hvilke feil som faktisk sannsynligvis vil bli utnyttet.
  • Tilpass til ditt miljø En feil på en testserver er ikke det samme som en feil på en produksjonsdatabase.
  • Kjenn versjonene CVSS v4.0 eksisterer, men v3.1 er fortsatt den mest brukte i dag.

Unngå Varseltretthet

Å finne sikkerhetsproblemer er bare nyttig hvis teamet ditt vet hva som skal fikses først. Å dumpe hundrevis av varsler på ingeniører forbedrer ikke sikkerheten; det skaper varseltretthet

Plexicus hjelper ved å rangere sårbarheter slik at teamet ditt kan fokusere på det som faktisk betyr noe. I stedet for å behandle hvert problem likt, bruker Plexicus noen enkle metrikker for å veilede prioritering.

1) Prioritet

Hva det betyr: Hvor presserende dette problemet egentlig er

Prioritet er en score fra 0 til 100 som samler alt i ett tall:

  • Teknisk alvorlighetsgrad (CVSS v4)
  • Forretningspåvirkning
  • Hvor sannsynlig det er å bli utnyttet

Dette er din handlingsliste. Sorter etter Prioritet og start fra toppen.

  • Prioritet 85 → Slipp alt og fiks dette nå
  • Prioritet 45 → Viktig, men det kan vente til neste sprint

Eksempel

Et SQL-injeksjonsproblem i et internt verktøy som:

  • Er kun tilgjengelig via selskapets VPN
  • Lagrer ikke sensitiv data

Poeng:

  • CVSS v4: 8.2 (teknisk alvorlig)
  • Forretningspåvirkning: 45 (internt verktøy, begrenset eksponering)
  • Utnyttelsestilgjengelighet: 30 (krever innlogging)
  • Prioritet: 48

Hvorfor prioritet er viktig

Hvis du bare ser på CVSS-poengsummen, kan du få panikk fordi 8.2 høres skremmende ut. Prioritet setter problemet i kontekst og sier: “Dette er reelt, men ikke presserende. Fiks det neste sprint.”

Det holder team fokusert på reell risiko i stedet for å reagere på hver høy CVSS-poengsum.

2) Påvirkning

Hva det betyr: Hvor ille det blir hvis dette blir utnyttet

Påvirkning scores fra 0 til 100 og reflekterer forretningskonsekvensene, ikke bare de tekniske. Det ser på ting som:

  • Er kundedata involvert?
  • Er dette systemet kritisk for driften?
  • Er det samsvars- eller regulatoriske risikoer?

Eksempel

  • SQL-injeksjon i en offentlig kundedatabase → Påvirkning 95
  • Det samme problemet i et internt testmiljø → Påvirkning 30

Samme feil, veldig forskjellig forretningsrisiko.

3) EPSS

Hva det betyr: Hvor sannsynlig det er at angripere vil utnytte dette

EPSS forutsier sjansen for at en sårbarhet vil bli utnyttet i den virkelige verden innen de neste 30 dagene. Den varierer fra 0.0 til 1.0.

Eksempel

  • En gammel sårbarhet med CVSS 9.0 men ingen aktive angrep → EPSS 0.01
  • En nyere sårbarhet med CVSS 6.0 som angripere aktivt bruker → EPSS 0.85

EPSS hjelper deg med å fokusere på hva angripere bryr seg om akkurat nå, ikke bare hva som ser dårlig ut på papiret.

Hvordan bruke disse målingene i Plexicus

  1. Koble til ditt repository og vent til skanningen er ferdig
  2. Gå til Funnet-siden
  3. Sorter og filtrer etter Prioritet for å bestemme hva som skal fikses først

plexicus-priority-remediation

Relaterte begreper

CVSS FAQ

Hva er den høyeste CVSS-scoren?

10.0. Det betyr at feilen er lett å utnytte og forårsaker stor skade.

Er en 9.0 alltid verre enn en 7.0?

På papiret, ja. I virkeligheten, ikke alltid. En 7.0 som aktivt utnyttes kan være farligere enn en 9.0 som ingen bruker.

Hvem setter CVSS-scoren?

Vanligvis programvareleverandøren eller NVD. Noen ganger gjør sikkerhetsforskere det.

Kan jeg endre en CVSS-score internt?

Ja. Mange team justerer scorer for å reflektere deres virkelige oppsett, spesielt hvis de har sterke beskyttelser på plass.

Neste Steg

Klar til å sikre applikasjonene dine? Velg din vei videre.

Start Gratis Prøveperiode

Prøv Plexicus risikofritt i 14 dager

Se Priser

Gjennomsiktig prising for team av alle størrelser

Bli med i fellesskapet

Bli med i vårt globale fellesskap

Les dokumentasjon

Les vår omfattende dokumentasjon

Bli med 500+ selskaper som allerede sikrer sine applikasjoner med Plexicus

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready