logo
Glosariusz CVSS (Common Vulnerability Scoring System)

CVSS (Common Vulnerability Scoring System)

TL;DR

CVSS to standardowy sposób określania jak poważny jest błąd bezpieczeństwa. Każdej podatności przypisuje się ocenę od 0 do 10, aby zespoły wiedziały, co naprawić w pierwszej kolejności.

Pomyśl o tym w ten sposób:

  • 0.0 → Brak problemu
  • 10.0 → Porzuć wszystko i napraw to teraz

Co to jest CVSS?

CVSS to darmowy, szeroko stosowany system oceniania podatności bezpieczeństwa. Jest utrzymywany przez grupę przemysłową o nazwie FIRST i jest używany praktycznie przez wszystkich w dziedzinie bezpieczeństwa.

Każda podatność otrzymuje numer między 0.0 a 10.0 na podstawie takich czynników jak:

  • Jak łatwo jest ją wykorzystać
  • Czy można ją zaatakować zdalnie
  • Jakie szkody może spowodować?

W prostych słowach:CVSS to termometr dla błędów oprogramowania.

Dlaczego CVSS jest ważny

Bez CVSS każdy opisywałby powagę inaczej. Jeden dostawca może powiedzieć, że błąd jest „krytyczny”, podczas gdy inny nazywa go „średnim”. CVSS daje wszystkim wspólny język.

To ważne, ponieważ:

  • Mówi zespołom, co naprawić w pierwszej kolejności Większość firm ustala zasady takie jak: „Wszystko powyżej 9.0 musi być naprawione w ciągu 48 godzin.”
  • Jest używany przez bazy danych podatności Narodowa Baza Danych Podatności (NVD) przypisuje oceny CVSS prawie każdemu CVE, co pozwala narzędziom automatycznie sortować tysiące problemów.
  • Usuwa domysły Zamiast kłócić się o to, jak poważny wydaje się błąd, CVSS zmusza do spojrzenia na konkretne czynniki, takie jak możliwość wykorzystania i wpływ.

Jak działa CVSS

CVSS ma trzy rodzaje ocen. Najczęściej zobaczysz tylko pierwszą z nich.

1. Ocena podstawowa (ta, której wszyscy używają)

Mierzy, jak poważna jest luka sama w sobie, niezależnie od miejsca wdrożenia.

Ocenia takie pytania jak:

  • Czy można to wykorzystać przez internet?
  • Czy jest to łatwe czy trudne do przeprowadzenia?
  • Czy atakujący potrzebuje loginu?
  • Czy musi oszukać użytkownika?
  • Co się stanie, jeśli zostanie wykorzystana? (kradzież danych, przejęcie systemu, przestój)

To jest ocena, którą zazwyczaj widzisz w listach CVE.

2. Ocena czasowa (czasami używana)

Dostosowuje ocenę na podstawie tego, co dzieje się teraz.

Na przykład:

  • Czy istnieje publiczny kod eksploatacyjny? (Ocena wzrasta)
  • Czy dostępna jest poprawka? (Ocena spada)

3. Ocena środowiskowa (zaawansowana, opcjonalna)

Dostosowuje ocenę do twojego środowiska.

Na przykład:

  • Czy system jest tylko wewnętrzny? (Mniej poważne)
  • Czy przechowuje dane klientów? (Bardziej poważne)

Prawdziwy przykład: Log4j

Log4j (Log4Shell) to jedna z najsłynniejszych luk w zabezpieczeniach.

Jego ocena CVSS wynosiła 10.0 (Krytyczna).

Dlaczego?

  • Można było go wykorzystać zdalnie
  • Nie wymagał logowania
  • Był łatwy do wykorzystania
  • Pozwalał na pełne przejęcie systemu

Kto używa CVSS?

  • Dostawcy oprogramowania, aby wyjaśnić, jak poważny jest błąd
  • Zespoły bezpieczeństwa, aby skupić się na najniebezpieczniejszych problemach
  • Audytorzy, aby sprawdzić, czy luki zostały naprawione na czas

Zakresy ocen CVSS (v3.1)

Oto jak zazwyczaj przekładają się liczby:

  • 0.0 → Brak problemu
  • 0.1–3.9 → Niski (naprawić później)
  • 4.0–6.9 → Średni (naprawić wkrótce)
  • 7.0–8.9 → Wysoki (naprawić pilnie)
  • 9.0–10.0 → Krytyczny (naprawić natychmiast)

Najlepsze Praktyki (Ważne)

  • Nie polegaj wyłącznie na CVSS CVSS mierzy poważność, a nie ryzyko. Krytyczny błąd na serwerze, który jest wyłączony, nie stanowi realnego zagrożenia.
  • Połącz CVSS z prawdopodobieństwem Połącz CVSS z EPSS, aby zobaczyć, które błędy są rzeczywiście prawdopodobne do wykorzystania.
  • Dostosuj do swojego środowiska Błąd na serwerze testowym to nie to samo, co błąd w bazie danych produkcyjnej.
  • Znaj wersje CVSS v4.0 istnieje, ale v3.1 jest nadal najczęściej używaną wersją.

Unikaj Zmęczenia Alarmami

Znajdowanie problemów z bezpieczeństwem jest użyteczne tylko wtedy, gdy twój zespół wie, co naprawić najpierw. Wrzucenie setek alarmów na inżynierów nie poprawia bezpieczeństwa; tworzy zmęczenie alarmami

Plexicus pomaga, klasyfikując podatności, aby twój zespół mógł skupić się na tym, co naprawdę ma znaczenie. Zamiast traktować każdy problem tak samo, Plexicus używa kilku prostych metryk do kierowania priorytetyzacją.

1) Priorytet

Co to oznacza: Jak pilny jest ten problem naprawdę

Priorytet to wynik od 0 do 100, który łączy wszystko w jedną liczbę:

  • Techniczna powaga (CVSS v4)
  • Wpływ na biznes
  • Jak prawdopodobne jest jego wykorzystanie

To jest twoja lista działań. Posortuj według Priorytetu i zacznij od góry.

  • Priorytet 85 → Porzuć wszystko i napraw to teraz
  • Priorytet 45 → Ważne, ale może poczekać do następnego sprintu

Przykład

Problem z wstrzyknięciem SQL w narzędziu wewnętrznym, które:

  • Jest dostępne tylko przez firmową sieć VPN
  • Nie przechowuje danych wrażliwych

Oceny:

  • CVSS v4: 8.2 (technicznie poważne)
  • Wpływ na biznes: 45 (narzędzie wewnętrzne, ograniczona ekspozycja)
  • Dostępność exploita: 30 (wymaga logowania)
  • Priorytet: 48

Dlaczego priorytet ma znaczenie

Jeśli spojrzysz tylko na wynik CVSS, możesz spanikować, ponieważ 8.2 brzmi strasznie. Priorytet umieszcza problem w kontekście i mówi: „To jest prawdziwe, ale nie pilne. Napraw to w następnym sprincie.”

To utrzymuje zespoły skupione na rzeczywistym ryzyku zamiast reagowania na każdy wysoki wynik CVSS.

2) Wpływ

Co to oznacza: Jak źle może być, jeśli to zostanie wykorzystane

Wpływ jest oceniany od 0 do 100 i odzwierciedla konsekwencje biznesowe, a nie tylko techniczne. Uwzględnia takie rzeczy jak:

  • Czy dane klientów są zaangażowane?
  • Czy ten system jest krytyczny dla operacji?
  • Czy istnieją ryzyka związane z zgodnością lub regulacjami?

Przykład

  • Wstrzyknięcie SQL w publicznej bazie danych klientów → Wpływ 95
  • Ten sam problem w wewnętrznym środowisku testowym → Wpływ 30

Ten sam błąd, bardzo różne ryzyko biznesowe.

3) EPSS

Co to oznacza: Jak prawdopodobne jest, że atakujący to wykorzystają

EPSS przewiduje szansę, że podatność zostanie wykorzystana w rzeczywistym świecie w ciągu następnych 30 dni. Zakres wynosi od 0.0 do 1.0.

Przykład

  • Stara luka z CVSS 9.0, ale bez aktywnych ataków → EPSS 0.01
  • Nowsza luka z CVSS 6.0, którą aktywnie wykorzystują atakujący → EPSS 0.85

EPSS pomaga skupić się na tym, co interesuje atakujących w tej chwili, a nie tylko na tym, co wygląda źle na papierze.

Jak używać tych metryk w Plexicus

  1. Połącz swoje repozytorium i poczekaj na zakończenie skanowania
  2. Przejdź do strony Findings
  3. Sortuj i filtruj według Priority, aby zdecydować, co naprawić najpierw

plexicus-priority-remediation

Powiązane terminy

CVSS FAQ

Jaka jest najwyższa ocena CVSS?

10.0. Oznacza to, że błąd jest łatwy do wykorzystania i powoduje poważne szkody.

Czy 9.0 jest zawsze gorsze niż 7.0?

Na papierze, tak. W rzeczywistości, nie zawsze. 7.0, które jest aktywnie wykorzystywane, może być bardziej niebezpieczne niż 9.0, którego nikt nie używa.

Kto ustala ocenę CVSS?

Zazwyczaj dostawca oprogramowania lub NVD. Czasami robią to badacze bezpieczeństwa.

Czy mogę zmienić ocenę CVSS wewnętrznie?

Tak. Wiele zespołów dostosowuje oceny, aby odzwierciedlały ich rzeczywiste środowisko, zwłaszcza jeśli mają silne zabezpieczenia.

Następne kroki

Gotowy, aby zabezpieczyć swoje aplikacje? Wybierz swoją ścieżkę naprzód.

Rozpocznij darmowy okres próbny

Wypróbuj Plexicus bez ryzyka przez 14 dni

Zobacz ceny

Przejrzyste ceny dla zespołów każdej wielkości

Dołącz do społeczności

Dołącz do naszej globalnej społeczności

Przeczytaj dokumentację

Przeczytaj naszą kompleksową dokumentację

Dołącz do ponad 500 firm, które już zabezpieczają swoje aplikacje z Plexicus

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready