CVSS (Common Vulnerability Scoring System)
CVSS je široce používaný průmyslový standard pro posuzování závažnosti bezpečnostních zranitelností v IT. Aktuálně se používají nebo používaly verze v2.0, v3.1 a nejnovější v4.0.
Tři hlavní skupiny metrik (CVSS v2.0 a v3.1)
Metriky CVSS
- Base Metrics (Základní metriky): Popisují charakteristiky samotné zranitelnosti. Jsou nezávislé na čase a prostředí. Skóre se generuje na základě rovnic (Base Score).
- Temporal Metrics (Časové metriky): Charakteristiky, které se vyvíjejí v čase (např. dostupnost exploitu, úroveň záplaty). Ve v4.0 byly nahrazeny Threat Metrics.
- Environmental Metrics (Environmentální metriky): Zranitelnosti v kontextu konkrétní implementace nebo prostředí dané organizace.
Standard definuje "Vektor" (Vector representation) – řetězec, který reprezentuje symbolické hodnoty těchto metrik (např. AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Metriky Base Score podrobně (Exploitability a Impact)
Nejčastěji používaná je Base Score, která se dělí na část zneužitelnosti (Exploitability) a dopadu (Impact).
Evoluce Base Metrik (v2.0 ➡️ v3.1 ➡️ v4.0)
Zneužitelnost (Exploitability Metrics):
- Attack Vector (AV): Network (N), Adjacent (A), Local (L) a od v3.0 přibylo Physical (P) – kdy útočník musí mít fyzický přístup.
- Access/Attack Complexity (AC): Low (L), High (H). V verze 2.0 bylo i Medium (M).
- Authentication (Au): Ve v2.0 (Multiple, Single, None). Od v3.1 bylo nahrazeno za Privileges Required (PR) (None, Low, High).
- User Interaction (UI): Nově přidáno od v3.0 (None, Required). Ve v4.0 rozděleno na Passive (P) a Active (A).
- Scope (S): Nově přidáno od v3.0 (Unchanged, Changed) – určuje, zda zranitelnost v jedné komponentě ovlivní jinou.
- Attack Requirements (AR): Nově přidáno ve v4.0 (None, Present) – specifické podmínky nasazení nebo provedení.
Dopad (Impact Metrics):
- Confidentiality (C), Integrity (I), Availability (A): Ve v2.0 měly hodnoty None (N), Partial (P), Complete (C). Od v3.0 byly zjednodušeny na None (N), Low (L), High (H).
- Rozdělení ve v4.0: Zavedeno dělení na dopad na Zranitelný systém (Vulnerable System Impact - VC, VI, VA) a Následný systém (Subsequent System Impact - SC, SI, SA).
Co přináší CVSS v4.0 (Zveřejněno v Listopadu 2023)
Kromě Base metrik a přepracování environmentálních metrik přináší verze 4.0 dvě nové kategorie:
- Threat Metrics: Vyplňuje spotřebitel (consumer). Nahrazuje Temporal Metrics. Obsahuje např. Exploit Maturity (E).
- Supplemental Metrics (Doplňkové metriky): Vyplňuje dodavatel (supplier). Zcela nová kategorie. Patří sem Safety (S), Automatable (AU), Recovery (R), Value Density (V), Vulnerability Response Effort (RE) a Provider Urgency (U).
CVSS Base Score Rankings (Závažnost podle skóre)
- None: 0.0
- Low (Nízká): 0.1 - 3.9
- Medium (Střední): 4.0 - 6.9
- High (Vysoká): 7.0 - 8.9 (v2.0 měla High až do 10.0)
- Critical (Kritická): 9.0 - 10.0 (Kritická úroveň byla zavedena až od v3.0)