CVSS

Standardowa metryka oceny krytyczności podatności bezpieczeństwa.

Data publikacji: 18-05-2025
Inne nazwy:
Common Vulnerability Scoring SystemSystem Punktacji Podatności CVSS

Definicja CVSS

Common Vulnerability Scoring System (CVSS) to międzynarodowy standard opracowany przez Forum of Incident Response and Security Teams (FIRST), służący do ilościowej oceny krytyczności podatności. CVSS przypisuje lukom bezpieczeństwa punktację od 0.0 do 10.0, wspierając zespoły SOC, DevSecOps i GRC w podejmowaniu decyzji o kolejności łatania i reakcji.

Struktura punktacji CVSS

CVSS składa się z trzech głównych grup metryk:

  • Base Score – opisuje niezmienne właściwości podatności, takie jak wektor ataku, złożoność czy wpływ na CIA.
  • Temporal Score – uwzględnia czynniki zmienne w czasie (np. dostępność exploita, poziom zrozumienia).
  • Environmental Score – dopasowuje ocenę do konkretnego środowiska organizacji (np. znaczenie zagrożonego zasobu).

Składniki Base Score

Parametr Przykład Znaczenie
Attack Vector Network / Adjacent / Local Jak łatwo można przeprowadzić atak.
Attack Complexity Low / High Czy atak wymaga specjalnych warunków.
Privileges Required None / Low / High Czy atakujący potrzebuje wcześniejszych uprawnień.
User Interaction Required / None Czy użytkownik musi wykonać jakąś akcję.
Confidentiality/Integrity/Availability Impact High/Low/None Wpływ na integralność, poufność i dostępność systemu.

Wersje CVSS

Wersja Rok Nowości
CVSSv2 2007 Pierwsza szeroko stosowana wersja; uproszczona struktura.
CVSSv3.0 2015 Więcej metryk bazowych; rozdzielenie uprawnień i interakcji.
CVSSv3.1 2019 Poprawki definicji, bez zmian w modelu punktacji.
CVSSv4.0 2023 Zmienna waga wskaźników, metryki exploitability i automatyzacji.

Przykładowa interpretacja punktacji

  • 9.8 (Critical) – zdalna eskalacja z zerowym udziałem użytkownika.
  • 7.5 (High) – lokalna podatność z umiarkowanym wpływem.
  • 4.0 (Medium) – potrzeba uprawnień i interakcji.
  • 1.2 (Low) – niewielki wpływ, trudny wektor ataku.

CVSS a inne narzędzia

  • CVE – CVSS służy jako metryka do oceny wagi podatności zarejestrowanych jako CVE.
  • NVD – Narodowa Baza Danych Podatności automatycznie przypisuje CVSS do wpisów.
  • KEV CISA – obowiązkowe łatanie luk powyżej progu CVSS (zazwyczaj ≥7.0).
  • SBOM i zarządzanie ryzykiem łańcucha dostaw – scoring wspiera priorytetyzację komponentów.

Wyzwania i ograniczenia

  1. Nadmierne zaufanie do liczb – ignorowanie kontekstu może prowadzić do błędnych decyzji.
  2. Zmiany w czasie – nowe exploity lub łatki wpływają na temporal score.
  3. Brak kalibracji środowiskowej – niedoszacowanie lub przeszacowanie realnego ryzyka.
  4. Nierówny poziom CVSS w CVE – nie wszystkie podatności mają przypisany score.

Trendy w rozwoju CVSS

  • Automatyzacja przypisywania score – wdrażanie algorytmów AI do generowania scoringu.
  • CVSSv4 adoption – bardziej precyzyjna klasyfikacja exploitowalności i wpływu.
  • Integracja z SOAR/XDR – dynamiczne wykorzystanie CVSS w korelacjach i reakcjach.
  • Śledzenie zmian scoringu w czasie – mechanizmy audytu i retrospekcji.

Dobre praktyki

  • Nie polegaj wyłącznie na Base Score – uwzględnij środowisko i kontekst.
  • Używaj CVSS jako wsparcia, nie jedynego kryterium.
  • Przeglądaj scoring przy każdej nowej wersji podatności (np. Reserved → Public).
  • Integruj CVSS z systemem ticketowym lub SIEM/SOAR do automatyzacji procesu.

Katalog Polskich Firm z Sektora Cyberbezpieczeństwa

Cyber Katalog to niezależna platforma gromadząca zweryfikowane polskie firmy specjalizujące się w cyberbezpieczeństwie. Naszą misją jest wspieranie decydentów w wyborze rzetelnych partnerów do ochrony zasobów cyfrowych.

Copyright © 2025 Cyber Katalog. Wszelkie prawa zastrzeżone.

Projekt i wykonanie: Silesian Solutions

Zespół Cyber Katalog nie świadczy usług doradczych przy wyborze dostawców. Naszą misją jest rozwój polskiej branży cybersecurity. Tworzymy niezależną przestrzeń, w której decydenci mogą łatwo nawiązywać kontakt ze sprawdzonymi firmami. To specjaliści oferujący zaawansowane usługi z zakresu ochrony cyfrowej i bezpieczeństwa IT.

Zwiększ widoczność w branży cyberbezpieczeństwa

Dodaj swoją firmę