{"id":476525,"date":"2023-08-09T07:29:55","date_gmt":"2023-08-09T07:29:55","guid":{"rendered":""},"modified":"2023-09-05T11:12:55","modified_gmt":"2023-09-05T11:12:55","slug":"cvss","status":"publish","type":"wiki","link":"https:\/\/oneproxy.pro\/pt\/wiki\/cvss\/","title":{"rendered":"CVSS"},"content":{"rendered":"<p>CVSS, ou Common Vulnerability Scoring System, \u00e9 uma estrutura aberta e padronizada para avaliar a gravidade das vulnerabilidades de seguran\u00e7a de sistemas de computador. Ele permite que profissionais e organiza\u00e7\u00f5es de TI priorizem respostas a riscos de seguran\u00e7a de maneira consistente e informada. O CVSS fornece uma forma de capturar as principais caracter\u00edsticas de uma vulnerabilidade e produzir uma pontua\u00e7\u00e3o num\u00e9rica que reflete sua gravidade, considerando as m\u00e9tricas de base, temporais e ambientais.<\/p>\n<h2>A G\u00eanese do CVSS<\/h2>\n<p>O CVSS originou-se como uma iniciativa do National Infrastructure Advisory Council (NIAC) dos Estados Unidos. No in\u00edcio da d\u00e9cada de 2000, o NIAC reconheceu a necessidade de um sistema padr\u00e3o para classificar as vulnerabilidades de TI para melhor gerir e mitigar potenciais amea\u00e7as \u00e0 infra-estrutura.<\/p>\n<p>A primeira vers\u00e3o do CVSS (CVSS v1) foi lan\u00e7ada em 2005 pelo F\u00f3rum de Equipes de Seguran\u00e7a e Resposta a Incidentes (FIRST). Esta ferramenta foi projetada para fornecer classifica\u00e7\u00f5es de vulnerabilidade unificadas, auxiliando no processo de tomada de decis\u00e3o das equipes de resposta de seguran\u00e7a. Desde ent\u00e3o, foi atualizado e aprimorado, sendo a terceira e mais recente vers\u00e3o (CVSS v3.1) publicada em 2019.<\/p>\n<h2>Uma an\u00e1lise mais aprofundada do CVSS<\/h2>\n<p>O CVSS foi projetado principalmente para fornecer uma medi\u00e7\u00e3o imparcial da gravidade das vulnerabilidades. O sistema de pontua\u00e7\u00e3o permite que as organiza\u00e7\u00f5es se concentrem nas quest\u00f5es mais significativas que os seus sistemas podem enfrentar. N\u00e3o \u00e9 simplesmente uma ferramenta de classifica\u00e7\u00e3o, mas tamb\u00e9m um guia para tomar medidas adequadas em resposta a amea\u00e7as.<\/p>\n<p>As pontua\u00e7\u00f5es do CVSS variam de 0 a 10, onde 0 representa nenhum risco e 10 indica o n\u00edvel mais alto de gravidade. Essas pontua\u00e7\u00f5es s\u00e3o calculadas com base em tr\u00eas grupos de m\u00e9tricas:<\/p>\n<ul>\n<li>\n<p><strong>M\u00e9tricas B\u00e1sicas<\/strong>: s\u00e3o caracter\u00edsticas de uma vulnerabilidade que s\u00e3o constantes ao longo do tempo e dos ambientes do usu\u00e1rio, como o vetor de ataque, a complexidade, os privil\u00e9gios necess\u00e1rios, a intera\u00e7\u00e3o do usu\u00e1rio, o escopo e o impacto na confidencialidade, integridade e disponibilidade.<\/p>\n<\/li>\n<li>\n<p><strong>M\u00e9tricas Temporais<\/strong>: essas m\u00e9tricas mudam com o tempo e lidam com o estado atual da vulnerabilidade. Eles incluem capacidade de explora\u00e7\u00e3o, n\u00edvel de remedia\u00e7\u00e3o e confian\u00e7a no relat\u00f3rio.<\/p>\n<\/li>\n<li>\n<p><strong>M\u00e9tricas Ambientais<\/strong>: essas m\u00e9tricas s\u00e3o espec\u00edficas do ambiente de um usu\u00e1rio, como potencial de dano colateral, distribui\u00e7\u00e3o de alvos e requisitos de seguran\u00e7a.<\/p>\n<\/li>\n<\/ul>\n<h2>Desvendando a estrutura CVSS<\/h2>\n<p>A estrutura CVSS foi projetada para capturar e comunicar informa\u00e7\u00f5es sobre vulnerabilidades em um formato consistente e f\u00e1cil de entender. Sua estrutura \u00e9 baseada em strings vetoriais e mecanismos de pontua\u00e7\u00e3o:<\/p>\n<ul>\n<li>\n<p><strong>Sequ\u00eancias de vetores<\/strong>: s\u00e3o representa\u00e7\u00f5es de texto simples das m\u00e9tricas usadas para calcular a pontua\u00e7\u00e3o. Cada m\u00e9trica recebe um valor que significa seu impacto potencial. Por exemplo, no CVSS v3.1, uma string de vetor pode ter esta apar\u00eancia: CVSS:3.1\/AV:N\/AC:L\/PR:N\/UI:N\/S:U\/C:H\/I:H\/A :H.<\/p>\n<\/li>\n<li>\n<p><strong>Mecanismo de pontua\u00e7\u00e3o<\/strong>: ap\u00f3s atribuir valores \u00e0s m\u00e9tricas na string do vetor, uma f\u00f3rmula \u00e9 aplicada para gerar a pontua\u00e7\u00e3o base. As pontua\u00e7\u00f5es temporais e ambientais s\u00e3o ent\u00e3o derivadas da pontua\u00e7\u00e3o base utilizando f\u00f3rmulas diferentes.<\/p>\n<\/li>\n<\/ul>\n<h2>Principais recursos do CVSS<\/h2>\n<p>Algumas das caracter\u00edsticas mais importantes da estrutura CVSS incluem:<\/p>\n<ul>\n<li>Sistema de pontua\u00e7\u00e3o padronizado para avalia\u00e7\u00f5es de vulnerabilidade consistentes<\/li>\n<li>Ampla aplicabilidade a v\u00e1rios tipos de sistemas e vulnerabilidades<\/li>\n<li>Permite ajustes espec\u00edficos temporais e ambientais<\/li>\n<li>Transparente e aberto para qualquer pessoa usar<\/li>\n<li>M\u00e9tricas detalhadas fornecem insights profundos sobre vulnerabilidades<\/li>\n<li>Projetado para ajudar na prioriza\u00e7\u00e3o de esfor\u00e7os de remedia\u00e7\u00e3o<\/li>\n<\/ul>\n<h2>Tipos de CVSS<\/h2>\n<p>Existem tr\u00eas vers\u00f5es do CVSS que foram publicadas at\u00e9 agora:<\/p>\n<ol>\n<li><strong>CVSS v1<\/strong> (2005): A vers\u00e3o inicial, fornecendo um m\u00e9todo padronizado para avaliar vulnerabilidades de TI.<\/li>\n<li><strong>CVSS v2<\/strong> (2007): Aprimorou a primeira vers\u00e3o com m\u00e9tricas mais refinadas e introduziu pontua\u00e7\u00f5es Temporais e Ambientais.<\/li>\n<li><strong>CVSS v3.1<\/strong> (2019): A vers\u00e3o mais recente, oferecendo mais melhorias e esclarecimentos sobre as defini\u00e7\u00f5es das m\u00e9tricas B\u00e1sicas, Temporais e Ambientais.<\/li>\n<\/ol>\n<h2>Utilizando CVSS: problemas e solu\u00e7\u00f5es<\/h2>\n<p>A principal aplica\u00e7\u00e3o do CVSS \u00e9 em processos de gerenciamento de vulnerabilidades e resposta a incidentes. As organiza\u00e7\u00f5es usam pontua\u00e7\u00f5es CVSS para priorizar os esfor\u00e7os de corre\u00e7\u00e3o com base na gravidade das vulnerabilidades. No entanto, o sistema de pontua\u00e7\u00e3o n\u00e3o leva em considera\u00e7\u00e3o o contexto empresarial de uma organiza\u00e7\u00e3o, o que poderia resultar numa aloca\u00e7\u00e3o ineficiente de recursos se usado isoladamente.<\/p>\n<p>A solu\u00e7\u00e3o \u00e9 incorporar pontua\u00e7\u00f5es CVSS em uma estrutura mais ampla de gerenciamento de riscos que considere impactos espec\u00edficos nos neg\u00f3cios e requisitos de seguran\u00e7a. Desta forma, as empresas podem criar uma abordagem equilibrada para a gest\u00e3o de vulnerabilidades.<\/p>\n<h2>Comparando CVSS com outros padr\u00f5es<\/h2>\n<p>Existem outros sistemas para avaliar vulnerabilidades de TI, mas o CVSS se destaca pela sua natureza abrangente, abertura e ampla ado\u00e7\u00e3o. Aqui est\u00e1 uma breve compara\u00e7\u00e3o:<\/p>\n<table>\n<thead>\n<tr>\n<th><\/th>\n<th>CVSS<\/th>\n<th>Metodologia de Classifica\u00e7\u00e3o de Risco OWASP<\/th>\n<th>TEMOR<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Padr\u00e3o aberto<\/td>\n<td>Sim<\/td>\n<td>N\u00e3o<\/td>\n<td>N\u00e3o<\/td>\n<\/tr>\n<tr>\n<td>Faixa de pontua\u00e7\u00e3o<\/td>\n<td>0-10<\/td>\n<td>N\u00edveis de risco (baixo a cr\u00edtico)<\/td>\n<td>0-10<\/td>\n<\/tr>\n<tr>\n<td>Fatores<\/td>\n<td>Confidencialidade, Integridade, Disponibilidade, Explorabilidade, Remedia\u00e7\u00e3o, Confian\u00e7a do Relat\u00f3rio<\/td>\n<td>Agente de amea\u00e7a, vulnerabilidade, impacto<\/td>\n<td>Danos, reprodutibilidade, explora\u00e7\u00e3o, usu\u00e1rios afetados, descoberta<\/td>\n<\/tr>\n<tr>\n<td>Uso de m\u00e9tricas temporais e ambientais<\/td>\n<td>Sim<\/td>\n<td>N\u00e3o<\/td>\n<td>N\u00e3o<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Futuro do CVSS<\/h2>\n<p>\u00c0 medida que as amea\u00e7as cibern\u00e9ticas continuam a evoluir, o CVSS tamb\u00e9m evoluir\u00e1. A comunidade est\u00e1 trabalhando ativamente para refinar o sistema de pontua\u00e7\u00e3o para melhor refletir a gravidade das vulnerabilidades. As tecnologias de IA e aprendizado de m\u00e1quina podem ser integradas para automatizar o processo de pontua\u00e7\u00e3o CVSS e torn\u00e1-lo mais preciso.<\/p>\n<p>Al\u00e9m disso, vers\u00f5es futuras do CVSS poder\u00e3o incorporar m\u00e9tricas mais diversas para acomodar o cen\u00e1rio em constante mudan\u00e7a das amea\u00e7as cibern\u00e9ticas, incluindo dispositivos IoT, sistemas de controle industrial e muito mais.<\/p>\n<h2>Servidores proxy e CVSS<\/h2>\n<p>Servidores proxy, como os fornecidos pelo OneProxy, podem desempenhar um papel importante no gerenciamento de vulnerabilidades e na utiliza\u00e7\u00e3o de pontua\u00e7\u00f5es CVSS. Ao atuarem como intermedi\u00e1rios para solicita\u00e7\u00f5es de clientes, os servidores proxy podem filtrar o tr\u00e1fego malicioso, reduzindo a superf\u00edcie de ataque e vulnerabilidades potenciais.<\/p>\n<p>Al\u00e9m disso, o uso de servidores proxy com um processo robusto de gerenciamento de vulnerabilidades (que inclui CVSS) pode oferecer prote\u00e7\u00e3o aprimorada. \u00c0 medida que os servidores proxy registram o tr\u00e1fego, eles podem fornecer dados valiosos para auditorias de seguran\u00e7a e ajudar na identifica\u00e7\u00e3o de poss\u00edveis vulnerabilidades.<\/p>\n<h2>Links Relacionados<\/h2>\n<p>Para obter mais informa\u00e7\u00f5es sobre CVSS, consulte os seguintes recursos:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.first.org\/cvss\/user-guide\" target=\"_new\" rel=\"noopener nofollow\">PRIMEIRO Guia CVSS<\/a><\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln-metrics\/cvss\/v3.1\/specification-document\" target=\"_new\" rel=\"noopener nofollow\">Especifica\u00e7\u00f5es do NVD CVSS v3.1<\/a><\/li>\n<li><a href=\"https:\/\/www.nist.gov\/cyberframework\/online-learning\/cvss\" target=\"_new\" rel=\"noopener nofollow\">Vis\u00e3o geral do CVSS do NIST<\/a><\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln-metrics\/cvss\/v3-calculator\" target=\"_new\" rel=\"noopener nofollow\">Calculadora CVSS<\/a><\/li>\n<\/ul>\n<p>Compreender e aplicar o CVSS \u00e9 vital para qualquer organiza\u00e7\u00e3o que pretenda melhorar a sua gest\u00e3o de vulnerabilidades e a postura geral de seguran\u00e7a cibern\u00e9tica. Ao integrar o CVSS na sua estrutura de avalia\u00e7\u00e3o de riscos, as empresas podem garantir que priorizam e respondem \u00e0s vulnerabilidades de forma eficaz.<\/p>","protected":false},"featured_media":476526,"menu_order":0,"template":"","meta":{"_acf_changed":false,"content-type":"","inline_featured_image":false,"footnotes":""},"class_list":["post-476525","wiki","type-wiki","status-publish","has-post-thumbnail","hentry"],"acf":{"faq_title":"Frequently Asked Questions about <mark>Understanding CVSS: The Common Vulnerability Scoring System<\/mark>","faq_items":[{"question":"What is the Common Vulnerability Scoring System (CVSS)?","answer":"<p>CVSS is a standardized, open framework for assessing the severity of computer system security vulnerabilities. It provides a way to capture the main characteristics of a vulnerability and produce a numerical score reflecting its severity. The scores range from 0 to 10, with 0 representing no risk and 10 indicating the highest level of severity.<\/p>"},{"question":"Who developed CVSS and when was it first introduced?","answer":"<p>CVSS was initially developed by the Forum of Incident Response and Security Teams (FIRST) under the recommendation of the National Infrastructure Advisory Council (NIAC) in the United States. The first version of CVSS (CVSS v1) was introduced in 2005.<\/p>"},{"question":"What are the three metric groups used in CVSS?","answer":"<p>The three metric groups used in CVSS are Base Metrics, Temporal Metrics, and Environmental Metrics. Base Metrics are constant characteristics of a vulnerability, Temporal Metrics change over time and deal with the current state of the vulnerability, and Environmental Metrics are specific to a user\u2019s environment.<\/p>"},{"question":"What does a CVSS score range signify?","answer":"<p>CVSS scores range from 0 to 10. A score of 0 represents no risk, while a score of 10 indicates the highest level of severity or risk. The scores help organizations prioritize their responses and remediation efforts towards security vulnerabilities.<\/p>"},{"question":"How many versions of CVSS exist?","answer":"<p>There have been three versions of CVSS published so far: CVSS v1 in 2005, CVSS v2 in 2007, and CVSS v3.1 in 2019. Each version has brought refinements and improvements to the system.<\/p>"},{"question":"How does CVSS compare to other vulnerability assessment standards?","answer":"<p>While there are other systems for assessing IT vulnerabilities, CVSS stands out due to its comprehensive nature, openness, and widespread adoption. It uses a numerical scoring system and considers various factors such as confidentiality, integrity, availability, exploitability, remediation, and report confidence. It also uses temporal and environmental metrics, unlike many other standards.<\/p>"},{"question":"How can proxy servers be used with CVSS?","answer":"<p>Proxy servers, like those provided by OneProxy, can play a significant role in managing vulnerabilities and utilizing CVSS scores. They can filter out malicious traffic, reducing the attack surface and potential vulnerabilities. Additionally, they can provide valuable data for security audits and assist in identifying potential vulnerabilities when used as part of a robust vulnerability management process.<\/p>"},{"question":"What is the future perspective of CVSS?","answer":"<p>The future of CVSS includes refining the scoring system to better reflect the severity of vulnerabilities. It might incorporate AI and machine learning technologies to automate the CVSS scoring process. Furthermore, future versions may include more diverse metrics to accommodate new types of cyber threats, such as those involving IoT devices and industrial control systems.<\/p>"}]},"_links":{"self":[{"href":"https:\/\/oneproxy.pro\/pt\/wp-json\/wp\/v2\/wiki\/476525","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/oneproxy.pro\/pt\/wp-json\/wp\/v2\/wiki"}],"about":[{"href":"https:\/\/oneproxy.pro\/pt\/wp-json\/wp\/v2\/types\/wiki"}],"version-history":[{"count":0,"href":"https:\/\/oneproxy.pro\/pt\/wp-json\/wp\/v2\/wiki\/476525\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/oneproxy.pro\/pt\/wp-json\/wp\/v2\/media\/476526"}],"wp:attachment":[{"href":"https:\/\/oneproxy.pro\/pt\/wp-json\/wp\/v2\/media?parent=476525"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}