CVSS(Common Vulnerability Scoring System) — открытый стандарт для оценки степени опасности уязвимостей.
CVSS разработал Национальный совет по инфраструктуре (National Infrastructure Advisory Council, NIAC) США. Также в создании и обновлении стандарта участвовали коммерческие компании, такие как Microsoft, Cisco и другие. Поддержкой системы занимается Форум групп безопасности и реагирования на инциденты (Forum of Incident Response and Security Teams, FIRST).
В настоящее время для оценки уязвимостей используется версия CVSS 3.1, вышедшая в июне 2019 года.
Методика оценки уязвимостей по CVSS (CVSS Score)
Согласно стандарту CVSS, уязвимости оцениваются на основании ряда метрик. Можно выделить три типа метрик:
- Базовые метрики. Сюда относятся общие метрики, описывающие уязвимость и не зависящие от времени или конкретного окружения. Они делятся на две группы:
- Метрики эксплуатации, описывающие, насколько уязвимость проста в эксплуатации. К этой группе относится, например, вектор атаки: одни уязвимости можно эксплуатировать через Интернет, то есть из любой точки мира с доступом к Сети, а другие требуют физического доступа к уязвимому устройству, который случайному злоумышленнику получить довольно сложно. сложность атаки, необходимость каких-либо действий со стороны пользователя и уровень привилегий, которые требуются злоумышленнику для реализации атаки.
- Метрики воздействия, касающиеся последствий эксплуатации уязвимости для системы и хранящихся в ней данных. Например, может ли атакующий вывести систему из строя, получить доступ к конфиденциальным данным, модифицировать файлы и т. д.
- Временные метрики описывают внешние факторы, которые могут измениться с течением времени. Например, наличие доступного эксплойта или, наоборот, патча.
- Метрики окружения на основную оценку уязвимости никак не влияют, но позволяют определить ее опасность для конкретной IT-среды. В набор метрик окружения входят базовые метрики с поправкой на условия конкретной среды. Так, если для эксплуатации уязвимости в целом требуются минимальные привилегии, то в конкретной организации доступ к уязвимой системе могут иметь только администраторы. Также к метрикам окружения относятся метрики, описывающие то, насколько опасны для конкретной организации возможные последствия эксплуатации уязвимости. Например, повлияет ли на операции компании отключение сервера или у нее есть запасной сервер, на который легко переключиться в случае инцидента.
Вычисление CVSS Score
На основании метрик с помощью набора формул вычисляется оценка CVSS Score. Она может принимать значение от 0 до 10, где:
- 9,0–10,0 — критический уровень опасности;
- 7,0–8,9 — высокий;
- 4,0–6,9 — средний;
- 0,1–3,9 — низкий;
- 0 — опасность отсутствует.
Для упрощения расчета CVSS Score существуют онлайн-калькуляторы CVSS. В частности, такой калькулятор есть на сайте FIRST.