CVSS, czyli Common Vulnerability Scoring System, to ustandaryzowany, otwarty system oceny powagi luk w zabezpieczeniach systemu komputerowego. Umo\u017cliwia specjalistom i organizacjom IT ustalanie priorytet\u00f3w reakcji na zagro\u017cenia bezpiecze\u0144stwa w sp\u00f3jny i \u015bwiadomy spos\u00f3b. CVSS umo\u017cliwia uchwycenie g\u0142\u00f3wnych cech luki w zabezpieczeniach i utworzenie wyniku liczbowego odzwierciedlaj\u0105cego jej wag\u0119, bior\u0105c pod uwag\u0119 metryki podstawowe, czasowe i \u015brodowiskowe.<\/p>\n
CVSS powsta\u0142 z inicjatywy Krajowej Rady Doradczej ds. Infrastruktury (NIAC) w Stanach Zjednoczonych. Na pocz\u0105tku XXI wieku NIAC dostrzeg\u0142 potrzeb\u0119 opracowania standardowego systemu oceny luk w zabezpieczeniach IT w celu lepszego zarz\u0105dzania potencjalnymi zagro\u017ceniami dla infrastruktury i \u0142agodzenia ich.<\/p>\n
Pierwsza wersja CVSS (CVSS v1) zosta\u0142a wydana w 2005 roku przez Forum Zespo\u0142\u00f3w Reagowania na Incydenty i Bezpiecze\u0144stwa (FIRST). Narz\u0119dzie to zosta\u0142o zaprojektowane w celu zapewnienia ujednoliconych ocen podatno\u015bci, pomagaj\u0105c w procesie decyzyjnym zespo\u0142om reaguj\u0105cym na bezpiecze\u0144stwo. Od tego czasu by\u0142 aktualizowany i udoskonalany, a trzecia, najnowsza wersja (CVSS v3.1) zosta\u0142a opublikowana w 2019 roku.<\/p>\n
CVSS ma przede wszystkim na celu zapewnienie bezstronnego pomiaru wagi luk w zabezpieczeniach. System scoringowy pozwala organizacjom skoncentrowa\u0107 si\u0119 na najwa\u017cniejszych problemach, z jakimi mog\u0105 si\u0119 spotka\u0107 ich systemy. To nie tylko narz\u0119dzie do klasyfikacji, ale tak\u017ce wskaz\u00f3wka dotycz\u0105ca podejmowania odpowiednich dzia\u0142a\u0144 w odpowiedzi na zagro\u017cenia.<\/p>\n
Wyniki CVSS wahaj\u0105 si\u0119 od 0 do 10, gdzie 0 oznacza brak ryzyka, a 10 oznacza najwy\u017cszy poziom dotkliwo\u015bci. Wyniki te s\u0105 obliczane na podstawie trzech grup wska\u017anik\u00f3w:<\/p>\n
Metryki podstawowe<\/strong>: S\u0105 to cechy luki, kt\u00f3re s\u0105 sta\u0142e w czasie i w \u015brodowisku u\u017cytkownika, takie jak wektor ataku, z\u0142o\u017cono\u015b\u0107, wymagane uprawnienia, interakcja z u\u017cytkownikiem, zakres i wp\u0142yw na poufno\u015b\u0107, integralno\u015b\u0107 i dost\u0119pno\u015b\u0107.<\/p>\n<\/li>\n Metryki czasowe<\/strong>: Te wska\u017aniki zmieniaj\u0105 si\u0119 w czasie i dotycz\u0105 bie\u017c\u0105cego stanu luki. Obejmuj\u0105 one mo\u017cliwo\u015b\u0107 wykorzystania, poziom naprawy i pewno\u015b\u0107 raportu.<\/p>\n<\/li>\n Wska\u017aniki \u015brodowiskowe<\/strong>: te wska\u017aniki s\u0105 specyficzne dla \u015brodowiska u\u017cytkownika i obejmuj\u0105 potencja\u0142 szk\u00f3d ubocznych, rozk\u0142ad cel\u00f3w i wymagania bezpiecze\u0144stwa.<\/p>\n<\/li>\n<\/ul>\n Struktura CVSS zosta\u0142a zaprojektowana w celu przechwytywania i przekazywania informacji o lukach w sp\u00f3jnym i \u0142atwym do zrozumienia formacie. Jego struktura opiera si\u0119 na ci\u0105gach wektorowych i mechanizmach punktacji:<\/p>\n Ci\u0105gi wektorowe<\/strong>: S\u0105 to proste reprezentacje tekstowe wska\u017anik\u00f3w u\u017cywanych do obliczania wyniku. Ka\u017cdej metryce przypisana jest warto\u015b\u0107, kt\u00f3ra oznacza jej potencjalny wp\u0142yw. Na przyk\u0142ad w CVSS v3.1 ci\u0105g wektorowy mo\u017ce wygl\u0105da\u0107 nast\u0119puj\u0105co: CVSS:3.1\/AV:N\/AC:L\/PR:N\/UI:N\/S:U\/C:H\/I:H\/A :H.<\/p>\n<\/li>\n Mechanizm punktacji<\/strong>: Po przypisaniu warto\u015bci do metryk w ci\u0105gu wektorowym stosowana jest formu\u0142a w celu wygenerowania wyniku podstawowego. Nast\u0119pnie na podstawie wyniku podstawowego wyprowadza si\u0119 wyniki czasowe i \u015brodowiskowe, stosuj\u0105c r\u00f3\u017cne wzory.<\/p>\n<\/li>\n<\/ul>\n Niekt\u00f3re z najwa\u017cniejszych cech struktury CVSS obejmuj\u0105:<\/p>\n Do tej pory opublikowano trzy wersje CVSS:<\/p>\n G\u0142\u00f3wnym zastosowaniem CVSS jest zarz\u0105dzanie podatno\u015bciami na zagro\u017cenia i procesy reagowania na incydenty. Organizacje wykorzystuj\u0105 wyniki CVSS do ustalania priorytet\u00f3w dzia\u0142a\u0144 naprawczych w oparciu o wag\u0119 luk w zabezpieczeniach. Jednak\u017ce system scoringowy nie uwzgl\u0119dnia kontekstu biznesowego organizacji, co mo\u017ce skutkowa\u0107 nieefektywn\u0105 alokacj\u0105 zasob\u00f3w, je\u015bli b\u0119dzie stosowane oddzielnie.<\/p>\n Rozwi\u0105zaniem jest w\u0142\u0105czenie wynik\u00f3w CVSS do szerszej struktury zarz\u0105dzania ryzykiem, kt\u00f3ra uwzgl\u0119dnia konkretny wp\u0142yw na dzia\u0142alno\u015b\u0107 biznesow\u0105 i wymagania bezpiecze\u0144stwa. W ten spos\u00f3b firmy mog\u0105 stworzy\u0107 zr\u00f3wnowa\u017cone podej\u015bcie do zarz\u0105dzania podatno\u015bciami.<\/p>\n Istniej\u0105 inne systemy oceny podatno\u015bci IT, ale CVSS wyr\u00f3\u017cnia si\u0119 kompleksowo\u015bci\u0105, otwarto\u015bci\u0105 i powszechnym przyj\u0119ciem. Oto kr\u00f3tkie por\u00f3wnanie:<\/p>\nOdkrywanie struktury CVSS<\/h2>\n
\n
Kluczowe cechy CVSS<\/h2>\n
\n
Rodzaje CVSS<\/h2>\n
\n
Korzystanie z CVSS: problemy i rozwi\u0105zania<\/h2>\n
Por\u00f3wnanie CVSS z innymi standardami<\/h2>\n