Data dodania: 18-05-2025
Znany również jako:
Common Vulnerability Scoring SystemSystem Punktacji Podatności CVSS
Definicja CVSS
Common Vulnerability Scoring System (CVSS) to międzynarodowy standard opracowany przez Forum of Incident Response and Security Teams (FIRST), służący do ilościowej oceny krytyczności podatności. CVSS przypisuje lukom bezpieczeństwa punktację od 0.0 do 10.0, wspierając zespoły SOC, DevSecOps i GRC w podejmowaniu decyzji o kolejności łatania i reakcji.
Struktura punktacji CVSS
CVSS składa się z trzech głównych grup metryk:
- Base Score – opisuje niezmienne właściwości podatności, takie jak wektor ataku, złożoność czy wpływ na CIA.
- Temporal Score – uwzględnia czynniki zmienne w czasie (np. dostępność exploita, poziom zrozumienia).
- Environmental Score – dopasowuje ocenę do konkretnego środowiska organizacji (np. znaczenie zagrożonego zasobu).
Składniki Base Score
| Parametr | Przykład | Znaczenie |
|---|---|---|
| Attack Vector | Network / Adjacent / Local | Jak łatwo można przeprowadzić atak. |
| Attack Complexity | Low / High | Czy atak wymaga specjalnych warunków. |
| Privileges Required | None / Low / High | Czy atakujący potrzebuje wcześniejszych uprawnień. |
| User Interaction | Required / None | Czy użytkownik musi wykonać jakąś akcję. |
| Confidentiality/Integrity/Availability Impact | High/Low/None | Wpływ na integralność, poufność i dostępność systemu. |
Wersje CVSS
| Wersja | Rok | Nowości |
|---|---|---|
| CVSSv2 | 2007 | Pierwsza szeroko stosowana wersja; uproszczona struktura. |
| CVSSv3.0 | 2015 | Więcej metryk bazowych; rozdzielenie uprawnień i interakcji. |
| CVSSv3.1 | 2019 | Poprawki definicji, bez zmian w modelu punktacji. |
| CVSSv4.0 | 2023 | Zmienna waga wskaźników, metryki exploitability i automatyzacji. |
Przykładowa interpretacja punktacji
- 9.8 (Critical) – zdalna eskalacja z zerowym udziałem użytkownika.
- 7.5 (High) – lokalna podatność z umiarkowanym wpływem.
- 4.0 (Medium) – potrzeba uprawnień i interakcji.
- 1.2 (Low) – niewielki wpływ, trudny wektor ataku.
CVSS a inne narzędzia
- CVE – CVSS służy jako metryka do oceny wagi podatności zarejestrowanych jako CVE.
- NVD – Narodowa Baza Danych Podatności automatycznie przypisuje CVSS do wpisów.
- KEV CISA – obowiązkowe łatanie luk powyżej progu CVSS (zazwyczaj ≥7.0).
- SBOM i zarządzanie ryzykiem łańcucha dostaw – scoring wspiera priorytetyzację komponentów.
Wyzwania i ograniczenia
- Nadmierne zaufanie do liczb – ignorowanie kontekstu może prowadzić do błędnych decyzji.
- Zmiany w czasie – nowe exploity lub łatki wpływają na temporal score.
- Brak kalibracji środowiskowej – niedoszacowanie lub przeszacowanie realnego ryzyka.
- Nierówny poziom CVSS w CVE – nie wszystkie podatności mają przypisany score.
Trendy w rozwoju CVSS
- Automatyzacja przypisywania score – wdrażanie algorytmów AI do generowania scoringu.
- CVSSv4 adoption – bardziej precyzyjna klasyfikacja exploitowalności i wpływu.
- Integracja z SOAR/XDR – dynamiczne wykorzystanie CVSS w korelacjach i reakcjach.
- Śledzenie zmian scoringu w czasie – mechanizmy audytu i retrospekcji.