CVSS, czyli Common Vulnerability Scoring System, to ramowy system oceny podatności stosowany do określania stopnia zagrożenia związanego z konkretną luką w zabezpieczeniach. Jest to standardowy sposób klasyfikacji i porównywania podatności w systemach informatycznych. Wykorzystywany jest m.in. bazie danych CVE (Common Vulnerabilities and Exposures). CVSS dostarcza obiektywnego i jednolitego sposobu oceny podatności, co umożliwia łatwiejsze podejmowanie decyzji dotyczących zarządzania ryzykiem i priorytetami łatek bezpieczeństwa.
Wynik CVSS jest reprezentowany jako liczba z zakresu od 0,0 do 10,0, gdzie wyższe wartości oznaczają większe zagrożenie.
Kalkulator wyniku podstawowego CVSS wykorzystuje osiem parametrów do obliczenia ważności określonej luki w zabezpieczeniach:
- Wektor ataku (Attack Vector): Określa, jakie jest źródło lub sposób, w jaki atakujący może wykorzystać podatność. Może to być na przykład atak zdalny (Remote), atak lokalny (Local) lub fizyczny dostęp (Physical).
- Złożoność ataku (Attack Complexity): Ocenia, jak skomplikowane jest przeprowadzenie udanego ataku. Niska złożoność oznacza, że atak jest prosty do wykonania, podczas gdy wysoka złożoność wymaga bardziej zaawansowanych kroków ze strony atakującego.
- Wymagane uprawnienia (Privileges Required): Określa, jakie poziomy uprawnień są wymagane dla atakującego, aby wykorzystać podatność. Może to być brak uprawnień (None), niskie uprawnienia (Low), lub wysokie uprawnienia (High).
- Interakcja z użytkownikiem (User Interaction): Ocenia, czy wykorzystanie podatności wymaga interakcji z użytkownikiem celowanego systemu. Może to być brak interakcji (None), minimalna interakcja (Required) lub duża interakcja (Complex).
- Zakres (Scope): Określa, czy wykorzystanie podatności ma wpływ tylko na samego użytkownika, czy też może wpłynąć na inne systemy lub użytkowników. Może to być podatność wewnętrzna (Unchanged), która wpływa tylko na lokalnego użytkownika, lub zewnętrzna (Changed), która wpływa na inne systemy lub użytkowników.
- Poufność (Confidentiality): Ocenia wpływ wykorzystania podatności na poufność danych. Może to być brak wpływu (None), niska utrata poufności (Low), średnia utrata poufności (High) lub pełna utrata poufności (Complete).
- Integralność (Integrity): Określa wpływ wykorzystania podatności na integralność danych. Podobnie jak w przypadku poufności, może to być brak wpływu (None), niska utrata integralności (Low), średnia utrata integralności (High) lub pełna utrata integralności (Complete).
- Dostępność (Availability): Ocenia wpływ wykorzystania podatności na dostępność systemu lub danych. Może to być brak wpływu (None), niska utrata dostępności (Low), średnia utrata dostępności (High) lub pełna utrata dostępności (Complete).
Dodając wszystkie te parametry do kalkulatora CVSS – możesz spróbować sam obliczyć wynik tutaj https://www.first.org/cvss/calculator/3.1).
Podsumowując, CVSS jest bardzo wygodnym i prostym sposobem na pokazanie poziomu zagrożenia. Nasi inżynierowie wykorzystują go w codziennej pracy opiekując się serwisami naszych klientów w ramach opieki WordPress.