CVSS: o que é o Common Vulnerability Scoring System

As falhas e vulnerabilidades de um software comprometem a segurança da informação de um sistema. O Common Vulnerability Scoring System, mais conhecido como CVSS surgiu como um método utilizado para classificar o risco das vulnerabilidades presentes em softwares através de uma pontuação.

O que é o CVSS?

O CVSS nasceu em 2005, através do National Infrastructure Advisory Council (NIAC), órgão do governo dos Estados Unidos especializado em segurança da informação.

O Common Vulnerability Scoring System é um padrão usado para identificar as principais características de uma vulnerabilidade e calcular uma pontuação numérica que classifique seu grau de risco.

Essa pontuação indica a gravidade do risco apontado e pode variar entre baixa, média e alta. O CVSS transforma estas informações em uma pontuação básica, entre 0 e 10, em que, o quanto maior a nota, maior o risco.

A implementação deste sistema, que atualmente está na versão 3.1, auxilia no planejamento de segurança de dados e proteção de invasões, avalia a pontuação nos seguintes grupos:

– Entre 0 e 3,9: Baixo;

– Entre 4,0 e 6,9: Médio;

– Entre 7,0 e 10,0: Alto.

Como calcular?

Existem diversos critérios utilizados para se chegar a uma nota concreta. Todos estes critérios são divididos em três categorias que avaliam características diferentes de vulnerabilidade.

Base
Compreende as características que não variam em ambientes diferentes e não mudam com o passar do tempo. Este grupo de métricas é o mais importante e sua nota tem mais relevância na pontuação final do CVSS.

Se divide em mais duas subcategorias:

– Explorabilidade: avalia a facilidade de exploração da vulnerabilidade.
Representa três métricas: vetor de acesso, que mede a possibilidade de exploração da vulnerabilidade; complexidade de acesso, que mede a dificuldade da exploração; autenticação, que mede o nível de privilégio do invasor.

– Impacto: avalia o tamanho do dano causado no sistema, ligado a vulnerabilidade.
Representa a confidencialidade, que revela o nível de exposição de dados confidenciais; integridade, que revela o impacto que a falha representa ao sistema; disponibilidade, que representa a acessibilidade de recursos de informações.

Temporal
Representa as características de uma ameaça de vulnerabilidade que pode mudar com o tempo. Consiste em um grupo de métricas que avalia o nível de: explorabilidade, que corresponde ao estado atual das técnicas de exploração; correção, a facilidade disponível para uma vulnerabilidade; segurança do relatório, correspondendo ao grau de confiança nas informações oferecidas em relação à vulnerabilidade.

Ambiental
Representa as características da vulnerabilidade que sofrem impacto pelo ambiente do usuário. O nível de prioridade de cada métrica deve ser avaliado internamente, para que os ativos mais importantes sejam protegidos. Avalia métricas de:
– Potencial Dano Colateral: potencial de dano ou furto de dados;
– Distribuição de Destino: número de sistemas vulneráveis no ambiente do usuário;
– Requisito de Disponibilidade: importância de disponibilizar informações;
– Requisito de Confidencialidade: importância da confidencialidade das informações;
– Requisito de Integridade: importância da precisão nas informações.

Benefícios

O CVSS fornece pontuações de vulnerabilidade padronizadas, em que é possível aproveitar uma única política de gerenciamento de vulnerabilidades para definir o tempo máximo permitido para validar e corrigir determinados erros.

Fornece também uma estrutura aberta, onde as características individuais usadas para obter uma pontuação são transparentes, além de permitir uma compreensão melhor dos riscos representados pelas vulnerabilidades na organização.

É possível determinar a pontuação CVSS usando apenas as métricas previstas na categoria Base, mas as categorias seguintes providenciam uma análise mais precisa e completa do nível de perigo. Entender o CVSS e calcular suas vulnerabilidades é importante para que o ambiente esteja seguro.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *