logo
Sözlük CVSS (Common Vulnerability Scoring System)

CVSS (Ortak Güvenlik Açığı Puanlama Sistemi)

Kısaca

CVSS, bir güvenlik açığının ne kadar kötü olduğunu belirtmenin standart bir yoludur. Her güvenlik açığına 0 ile 10 arasında bir puan verir, böylece ekipler önce neyi düzeltmeleri gerektiğini bilirler.

Bunu şöyle düşünün:

  • 0.0 → Hiç sorun yok
  • 10.0 → Her şeyi bırak ve hemen düzelt

CVSS Nedir?

CVSS, güvenlik açıkları için ücretsiz ve yaygın olarak kullanılan bir puanlama sistemidir. FIRST adlı bir endüstri grubu tarafından yönetilir ve güvenlik alanında neredeyse herkes tarafından kullanılır.

Her güvenlik açığı, aşağıdaki gibi şeylere dayanarak 0.0 ile 10.0 arasında bir numara alır:

  • İstismar edilmesi ne kadar kolay
  • Uzaktan saldırıya uğrayabilir mi?
  • Ne kadar zarar verebilir?

Basitçe söylemek gerekirse:CVSS, yazılım hataları için bir termometredir.

CVSS Neden Önemlidir?

CVSS olmadan, herkes ciddiyeti farklı şekilde tanımlardı. Bir satıcı bir hatayı “kritik” olarak tanımlarken, başka biri “orta” olarak adlandırabilir. CVSS, herkese ortak bir dil sağlar.

Önemlidir çünkü:

  • Ekiplerin önce neyi düzeltmesi gerektiğini söyler Çoğu şirket, “9.0’ın üzerindeki her şey 48 saat içinde düzeltilmelidir” gibi kurallar belirler.
  • Güvenlik açığı veritabanları tarafından kullanılır Ulusal Güvenlik Açığı Veritabanı (NVD), neredeyse her CVE’ye CVSS puanları atar, bu da araçların binlerce sorunu otomatik olarak sıralamasını sağlar.
  • Tahmin işini ortadan kaldırır Bir hatanın ne kadar kötü hissettirdiği konusunda tartışmak yerine, CVSS sizi istismar edilebilirlik ve etki gibi somut faktörlere bakmaya zorlar.

CVSS Nasıl Çalışır

CVSS’nin üç tür puanı vardır. Çoğu zaman sadece ilkini görürsünüz.

1. Temel Puan (herkesin kullandığı)

Bu, zafiyetin kendi başına ne kadar kötü olduğunu, nerede konuşlandırıldığına bakılmaksızın ölçer.

Şu gibi soruları inceler:

  • İnternet üzerinden istismar edilebilir mi?
  • Gerçekleştirilmesi kolay mı zor mu?
  • Saldırganın giriş yapması gerekiyor mu?
  • Bir kullanıcıyı kandırmaları gerekiyor mu?
  • İstismar edilirse ne olur? (veri hırsızlığı, sistem ele geçirme, kesinti)

Bu, genellikle CVE listelerinde gördüğünüz puandır.

2. Geçici Puan (bazen kullanılır)

Bu, şu anda olanlara göre puanı ayarlar.

Örneğin:

  • Kamuya açık istismar kodu var mı? (Puan yükselir)
  • Bir yama mevcut mu? (Puan düşer)

3. Çevresel Puan (ileri düzey, isteğe bağlı)

Bu, puanı sizin ortamınıza göre özelleştirir.

Örneğin:

  • Sistem sadece dahili mi? (Daha az ciddi)
  • Müşteri verisi mi barındırıyor? (Daha ciddi)

Gerçek Bir Örnek: Log4j

Log4j (Log4Shell) en ünlü zafiyetlerden biridir.

CVSS puanı 10.0 (Kritik) idi.

Neden?

  • Uzaktan istismar edilebilirdi
  • Giriş gerektirmiyordu
  • İstismar edilmesi kolaydı
  • Tam sistem ele geçirmeye izin veriyordu

CVSS’yi Kim Kullanır?

  • Yazılım satıcıları, bir hatanın ne kadar ciddi olduğunu açıklamak için
  • Güvenlik ekipleri, en tehlikeli sorunlara odaklanmak için
  • Denetçiler, zafiyetlerin zamanında düzeltilip düzeltilmediğini kontrol etmek için

CVSS Puan Aralıkları (v3.1)

İşte genellikle sayıların nasıl çevrildiği:

  • 0.0 → Sorun yok
  • 0.1–3.9 → Düşük (sonra düzelt)
  • 4.0–6.9 → Orta (yakında düzelt)
  • 7.0–8.9 → Yüksek (acilen düzelt)
  • 9.0–10.0 → Kritik (hemen düzelt)

En İyi Uygulamalar (Önemli)

  • Sadece CVSS’ye güvenmeyin CVSS ciddiyeti ölçer, riski değil. Kapalı bir sunucuda kritik bir hata gerçek bir tehdit değildir.
  • CVSS’i olasılıkla birleştirin CVSS’i EPSS ile eşleştirerek hangi hataların gerçekten sömürülebileceğini görün.
  • Çevrenize göre ayarlayın Test sunucusundaki bir hata, üretim veritabanındaki bir hata ile aynı değildir.
  • Sürümleri bilin CVSS v4.0 mevcut, ancak v3.1 bugün hala en yaygın kullanılan sürümdür.

Uyarı Yorgunluğundan Kaçının

Güvenlik sorunlarını bulmak, ekibinizin önce neyi düzeltmesi gerektiğini bilmesi durumunda işe yarar. Mühendislere yüzlerce uyarı göndermek güvenliği artırmaz; uyarı yorgunluğu yaratır.

Plexicus, ekibinizin gerçekten önemli olanlara odaklanabilmesi için güvenlik açıklarını sıralayarak yardımcı olur. Her sorunu aynı şekilde ele almak yerine, Plexicus önceliklendirmeye rehberlik etmek için birkaç basit metrik kullanır.

1) Öncelik

Ne anlama geliyor: Bu sorunun gerçekten ne kadar acil olduğu

Öncelik, her şeyi tek bir sayıya dönüştüren 0 ile 100 arasında bir skordur:

  • Teknik ciddiyet (CVSS v4)
  • İş etkisi
  • Sömürülme olasılığı

Bu sizin eylem listeniz. Önceliğe göre sıralayın ve en üstten başlayın.

  • Öncelik 85 → Her şeyi bırak ve bunu hemen düzelt
  • Öncelik 45 → Önemli, ancak bir sonraki sprint’e kadar bekleyebilir

Örnek

Bir iç araçta SQL enjeksiyon sorunu:

  • Sadece şirket VPN’i üzerinden erişilebilir
  • Hassas veri depolamaz

Puanlar:

  • CVSS v4: 8.2 (teknik olarak ciddi)
  • İş Etkisi: 45 (iç araç, sınırlı maruz kalma)
  • Sömürü Kullanılabilirliği: 30 (giriş gerektirir)
  • Öncelik: 48

Neden Öncelik Önemlidir

Sadece CVSS puanına bakarsanız, 8.2 korkutucu gelebilir. Öncelik, sorunu bağlam içine yerleştirir ve der ki: “Bu gerçek, ama acil değil. Bir sonraki sprint’te düzelt.”

Bu, ekiplerin her yüksek CVSS puanına tepki vermek yerine gerçek riske odaklanmasını sağlar.

2) Etki

Ne anlama geliyor: Bu sömürüldüğünde ne kadar kötüleşir

Etki, 0 ile 100 arasında puanlanır ve sadece teknik değil, iş sonuçlarını yansıtır. Şunları inceler:

  • Müşteri verisi dahil mi?
  • Bu sistem operasyonlar için kritik mi?
  • Uyumluluk veya düzenleyici riskler var mı?

Örnek

  • Halka açık müşteri veritabanında SQL enjeksiyonu → Etki 95
  • Aynı sorun iç test ortamında → Etki 30

Aynı hata, çok farklı iş riski.

3) EPSS

Ne anlama geliyor: Saldırganların bunu sömürme olasılığı

EPSS, bir güvenlik açığının gerçek dünyada önümüzdeki 30 gün içinde sömürülme olasılığını tahmin eder. 0.0 ile 1.0 arasında değişir.

Örnek

  • CVSS 9.0 ile eski bir güvenlik açığı ancak aktif saldırı yok → EPSS 0.01
  • Saldırganların aktif olarak kullandığı CVSS 6.0 ile daha yeni bir güvenlik açığı → EPSS 0.85

EPSS, saldırganların şu anda neye önem verdiğine odaklanmanıza yardımcı olur, sadece kağıt üzerinde kötü görünenlere değil.

Plexicus’ta Bu Metrikleri Nasıl Kullanılır

  1. Depo bağlantınızı kurun ve taramanın bitmesini bekleyin
  2. Bulgu sayfasına gidin
  3. Öncelik sırasına göre Sırala ve Filtrele yaparak önce neyi düzelteceğinize karar verin

plexicus-priority-remediation

İlgili Terimler

CVSS SSS

En yüksek CVSS puanı nedir?

10.0. Bu, hatanın kolayca istismar edilebileceği ve büyük zarar verebileceği anlamına gelir.

9.0 her zaman 7.0’dan daha mı kötüdür?

Kağıt üzerinde evet. Gerçekte, her zaman değil. Aktif olarak istismar edilen bir 7.0, kimsenin kullanmadığı bir 9.0’dan daha tehlikeli olabilir.

CVSS puanını kim belirler?

Genellikle yazılım satıcısı veya NVD. Bazen güvenlik araştırmacıları yapar.

CVSS puanını dahili olarak değiştirebilir miyim?

Evet. Birçok ekip, özellikle güçlü korumaları varsa, gerçek dünya kurulumlarını yansıtmak için puanları ayarlar.

Sonraki Adımlar

Uygulamalarınızı güvence altına almaya hazır mısınız? İleriye doğru yolunuzu seçin.

Ücretsiz Deneme Başlat

Plexicus'u 14 gün boyunca risksiz deneyin

Fiyatlandırmayı Görüntüle

Her büyüklükteki ekip için şeffaf fiyatlandırma

Topluluğa Katıl

Küresel Topluluğumuza Katılın

Belgeleri Oku

Kapsamlı Belgelerimizi Okuyun

Plexicus ile uygulamalarını güvence altına alan 500+ şirkete katılın

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready