logo
Thuật ngữ CVSS (Common Vulnerability Scoring System)

CVSS (Hệ thống Chấm điểm Lỗ hổng Chung)

Tóm tắt

CVSS là một cách tiêu chuẩn để nói mức độ nghiêm trọng của một lỗi bảo mật. Nó cung cấp cho mỗi lỗ hổng một điểm số từ 0 đến 10 để các nhóm biết cần sửa chữa cái gì trước.

Hãy nghĩ về nó như thế này:

  • 0.0 → Không có vấn đề
  • 10.0 → Bỏ mọi thứ và sửa ngay

CVSS là gì?

CVSS là một hệ thống chấm điểm miễn phí, được sử dụng rộng rãi cho các lỗ hổng bảo mật. Nó được duy trì bởi một nhóm ngành công nghiệp gọi là FIRST, và được hầu hết mọi người trong lĩnh vực bảo mật sử dụng.

Mỗi lỗ hổng nhận được một số từ 0.0 đến 10.0 dựa trên các yếu tố như:

  • Mức độ dễ dàng để khai thác
  • Liệu nó có thể bị tấn công từ xa không
  • Mức độ thiệt hại mà nó có thể gây ra

Nói đơn giản: CVSS là một nhiệt kế cho các lỗi phần mềm.

Tại sao CVSS quan trọng

Nếu không có CVSS, mọi người sẽ mô tả mức độ nghiêm trọng khác nhau. Một nhà cung cấp có thể nói một lỗi là “nghiêm trọng”, trong khi nhà cung cấp khác gọi nó là “trung bình”. CVSS cung cấp cho mọi người một ngôn ngữ chung.

Nó quan trọng vì:

  • Nó cho các nhóm biết cần sửa chữa cái gì trước Hầu hết các công ty đặt ra các quy tắc như: “Bất cứ điều gì trên 9.0 phải được sửa trong vòng 48 giờ.”
  • Nó được sử dụng bởi các cơ sở dữ liệu lỗ hổng Cơ sở Dữ liệu Lỗ hổng Quốc gia (NVD) gán điểm CVSS cho hầu hết mọi CVE, điều này cho phép các công cụ tự động sắp xếp hàng ngàn vấn đề.
  • Nó loại bỏ sự phỏng đoán Thay vì tranh cãi về mức độ nghiêm trọng của một lỗi, CVSS buộc bạn phải xem xét các yếu tố cụ thể như khả năng khai thác và tác động.

Cách CVSS hoạt động

CVSS có ba loại điểm số. Hầu hết thời gian, bạn chỉ thấy loại đầu tiên.

1. Điểm Cơ Bản (điểm mà mọi người đều sử dụng)

Điều này đo lường mức độ nghiêm trọng của lỗ hổng tự nó, không phụ thuộc vào nơi nó được triển khai.

Nó xem xét các câu hỏi như:

  • Có thể khai thác qua internet không?
  • Dễ hay khó thực hiện?
  • Kẻ tấn công có cần đăng nhập không?
  • Họ có cần lừa người dùng không?
  • Điều gì xảy ra nếu nó bị khai thác? (trộm dữ liệu, chiếm quyền hệ thống, thời gian ngừng hoạt động)

Đây là điểm số bạn thường thấy trong danh sách CVE.

2. Điểm Tạm Thời (đôi khi được sử dụng)

Điều này điều chỉnh điểm số dựa trên những gì đang xảy ra ngay bây giờ.

Ví dụ:

  • Có mã khai thác công khai không? (Điểm tăng lên)
  • Có bản vá nào có sẵn không? (Điểm giảm xuống)

3. Điểm Môi Trường (nâng cao, tùy chọn)

Điều này điều chỉnh điểm số cho môi trường của bạn.

Ví dụ:

  • Hệ thống chỉ nội bộ? (Ít nghiêm trọng hơn)
  • Nó có chứa dữ liệu khách hàng không? (Nghiêm trọng hơn)

Một Ví Dụ Thực Tế: Log4j

Log4j (Log4Shell) là một trong những lỗ hổng nổi tiếng nhất từng có.

Điểm CVSS của nó là 10.0 (Nghiêm Trọng).

Tại sao?

  • Nó có thể bị khai thác từ xa
  • Không cần đăng nhập
  • Dễ khai thác
  • Cho phép chiếm quyền hệ thống hoàn toàn

Ai Sử Dụng CVSS?

  • Các nhà cung cấp phần mềm để giải thích mức độ nghiêm trọng của lỗi
  • Các đội ngũ bảo mật để tập trung vào các vấn đề nguy hiểm nhất
  • Kiểm toán viên để kiểm tra xem các lỗ hổng đã được sửa chữa kịp thời chưa

Phạm Vi Điểm CVSS (v3.1)

Dưới đây là cách các con số thường được dịch:

  • 0.0 → Không có vấn đề
  • 0.1–3.9 → Thấp (sửa sau)
  • 4.0–6.9 → Trung bình (sửa sớm)
  • 7.0–8.9 → Cao (sửa gấp)
  • 9.0–10.0 → Nghiêm trọng (sửa ngay lập tức)

Thực hành tốt nhất (Quan trọng)

  • Đừng chỉ dựa vào CVSS CVSS đo lường mức độ nghiêm trọng, không phải rủi ro. Một lỗi nghiêm trọng trên một máy chủ đã tắt không phải là mối đe dọa thực sự.
  • Kết hợp CVSS với khả năng xảy ra Kết hợp CVSS với EPSS để xem lỗi nào thực sự có khả năng bị khai thác.
  • Điều chỉnh theo môi trường của bạn Một lỗi trên máy chủ thử nghiệm không giống như một lỗi trên cơ sở dữ liệu sản xuất.
  • Biết các phiên bản CVSS v4.0 đã tồn tại, nhưng v3.1 vẫn là phiên bản được sử dụng phổ biến nhất hiện nay.

Tránh mệt mỏi cảnh báo

Việc tìm ra các vấn đề bảo mật chỉ hữu ích nếu đội ngũ của bạn biết cần sửa cái gì trước. Đổ hàng trăm cảnh báo lên các kỹ sư không cải thiện bảo mật; nó tạo ra mệt mỏi cảnh báo

Plexicus giúp bằng cách xếp hạng các lỗ hổng để đội ngũ của bạn có thể tập trung vào những gì thực sự quan trọng. Thay vì xử lý mọi vấn đề như nhau, Plexicus sử dụng một vài chỉ số đơn giản để hướng dẫn ưu tiên.

1) Ưu tiên

Ý nghĩa: Mức độ khẩn cấp của vấn đề này thực sự là gì

Ưu tiên là một điểm số từ 0 đến 100 tổng hợp mọi thứ thành một con số:

  • Mức độ nghiêm trọng kỹ thuật (CVSS v4)
  • Tác động kinh doanh
  • Khả năng bị khai thác

Đây là danh sách hành động của bạn. Sắp xếp theo Ưu tiên và bắt đầu từ đầu.

  • Ưu tiên 85 → Bỏ mọi thứ và sửa ngay bây giờ
  • Ưu tiên 45 → Quan trọng, nhưng có thể chờ đến sprint tiếp theo

Ví dụ

Một vấn đề tiêm nhiễm SQL trong một công cụ nội bộ mà:

  • Chỉ có thể truy cập qua VPN của công ty
  • Không lưu trữ dữ liệu nhạy cảm

Điểm số:

  • CVSS v4: 8.2 (về mặt kỹ thuật là nghiêm trọng)
  • Tác động kinh doanh: 45 (công cụ nội bộ, phơi nhiễm hạn chế)
  • Khả năng khai thác: 30 (yêu cầu đăng nhập)
  • Ưu tiên: 48

Tại sao Ưu tiên Quan trọng

Nếu bạn chỉ nhìn vào điểm số CVSS, bạn có thể hoảng sợ vì 8.2 nghe có vẻ đáng sợ. Ưu tiên đặt vấn đề vào ngữ cảnh và nói rằng: “Đây là vấn đề thực sự, nhưng không khẩn cấp. Sửa nó trong sprint tiếp theo.”

Điều đó giữ cho các đội tập trung vào rủi ro thực sự thay vì phản ứng với mọi điểm số CVSS cao.

2) Tác động

Ý nghĩa: Mức độ nghiêm trọng nếu vấn đề này bị khai thác

Tác động được chấm điểm từ 0 đến 100 và phản ánh hậu quả kinh doanh, không chỉ là những vấn đề kỹ thuật. Nó xem xét các yếu tố như:

  • Có liên quan đến dữ liệu khách hàng không?
  • Hệ thống này có quan trọng đối với hoạt động không?
  • Có rủi ro tuân thủ hoặc pháp lý không?

Ví dụ

  • Tiêm nhiễm SQL trong một cơ sở dữ liệu khách hàng công khai → Tác động 95
  • Cùng vấn đề trong một môi trường thử nghiệm nội bộ → Tác động 30

Cùng một lỗi, rủi ro kinh doanh rất khác nhau.

3) EPSS

Ý nghĩa: Khả năng kẻ tấn công khai thác điều này

EPSS dự đoán khả năng một lỗ hổng sẽ bị khai thác trong thế giới thực trong vòng 30 ngày tới. Nó dao động từ 0.0 đến 1.0.

Ví dụ

  • Một lỗ hổng cũ với CVSS 9.0 nhưng không có cuộc tấn công nào đang hoạt động → EPSS 0.01
  • Một lỗ hổng mới hơn với CVSS 6.0 mà kẻ tấn công đang tích cực sử dụng → EPSS 0.85

EPSS giúp bạn tập trung vào những gì kẻ tấn công quan tâm ngay bây giờ, không chỉ những gì trông có vẻ xấu trên giấy tờ.

Cách Sử Dụng Các Chỉ Số Này Trong Plexicus

  1. Kết nối kho lưu trữ của bạn và chờ quét hoàn tất
  2. Đi tới trang Findings
  3. Sắp xếp và lọc theo Priority để quyết định điều gì cần sửa trước

plexicus-priority-remediation

Thuật Ngữ Liên Quan

CVSS FAQ

Điểm CVSS cao nhất là bao nhiêu?

10.0. Điều này có nghĩa là lỗi dễ khai thác và gây thiệt hại lớn.

Điểm 9.0 luôn tệ hơn điểm 7.0?

Trên giấy tờ, có. Trong thực tế, không phải lúc nào cũng vậy. Một điểm 7.0 đang bị khai thác tích cực có thể nguy hiểm hơn một điểm 9.0 mà không ai sử dụng.

Ai đặt điểm CVSS?

Thường là nhà cung cấp phần mềm hoặc NVD. Đôi khi các nhà nghiên cứu bảo mật cũng làm điều này.

Tôi có thể thay đổi điểm CVSS nội bộ không?

Có. Nhiều nhóm điều chỉnh điểm để phản ánh thiết lập thực tế của họ, đặc biệt nếu họ có các biện pháp bảo vệ mạnh mẽ.

Bước Tiếp Theo

Sẵn sàng bảo mật ứng dụng của bạn? Chọn con đường của bạn phía trước.

Bắt Đầu Dùng Thử Miễn Phí

Thử Plexicus không rủi ro trong 14 ngày

Xem Giá

Giá cả minh bạch cho các đội nhóm ở mọi quy mô

Tham Gia Cộng Đồng

Tham Gia Cộng Đồng Toàn Cầu của chúng tôi

Đọc Tài Liệu

Đọc Tài Liệu Toàn Diện của chúng tôi

Tham gia cùng hơn 500 công ty đã bảo mật ứng dụng của họ với Plexicus

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready