C betűs definíciókKiberbiztonságTechnológiai rövidítések

Common Vulnerability Scoring System (CVSS): a biztonsági sebezhetőségek súlyosságát értékelő rendszer működése

A Common Vulnerability Scoring System (CVSS) egy szabványosított eszköz, amely segít felmérni a biztonsági sebezhetőségek súlyosságát. Egyszerű pontozással rangsorolja a kockázatokat, így könnyebben kezelhetők a veszélyek és javítható a védelem.
ITSZÓTÁR.hu
By ITSZÓTÁR.hu
21 Min Read
Gyors betekintő

A digitális világban nap mint nap újabb és újabb szoftveres sebezhetőségek látnak napvilágot. A biztonsági szakemberek és rendszergazdák számára óriási kihívást jelent eldönteni, hogy a több ezer potenciális fenyegetés közül melyikkel kell azonnal foglalkozni, és melyik javítása várhat. Ebben a komplex priorizálási folyamatban nyújt felbecsülhetetlen segítséget a Common Vulnerability Scoring System (CVSS), egy nyílt és iparági szinten elfogadott szabvány a biztonsági rések súlyosságának értékelésére.

A CVSS egy numerikus pontszámot (0.0-tól 10.0-ig) rendel minden egyes sebezhetőséghez, amely objektív és konzisztens módon tükrözi annak technikai súlyosságát. Ez a pontszám egy közös nyelvet teremt a fejlesztők, a biztonsági elemzők és a menedzsment között, lehetővé téve a hatékony kommunikációt és a megalapozott döntéshozatalt. A rendszer nem csupán egyetlen számot ad, hanem egy részletes, metrikákon alapuló értékelést, amely figyelembe veszi a sebezhetőség belső tulajdonságait, az idő múlásával változó tényezőket és a specifikus környezeti sajátosságokat is.

A CVSS lényege a szabványosítás. Célja, hogy a sebezhetőségek értékelése ne szubjektív megérzéseken, hanem egy átlátható, megismételhető és mindenki számára érthető keretrendszeren alapuljon.

A rendszer megértése elengedhetetlen minden kiberbiztonsággal foglalkozó szakember számára. Segítségével képesek leszünk megkülönböztetni a valóban kritikus, azonnali beavatkozást igénylő fenyegetéseket a kevésbé sürgős problémáktól, optimalizálva ezzel a védekezésre fordított erőforrásokat és minimalizálva a potenciális károkat. A következőkben részletesen bemutatjuk a CVSS működését, a különböző verziók közötti különbségeket és a pontszámok mögött rejlő logikát.

A CVSS evolúciója: a kezdetektől a modern szabványokig

A CVSS története a 2000-es évek elejére nyúlik vissza, amikor a National Infrastructure Advisory Council (NIAC) kutatása rámutatott egy egységes, nyílt sebezhetőség-értékelési rendszer hiányára. A cél egy olyan módszertan létrehozása volt, amely képes objektíven és következetesen rangsorolni a szoftverhibákat. Az első verzió, a CVSSv1, 2005-ben jelent meg, és lefektette a rendszer alapjait, de hamar kiderült, hogy több ponton is finomításra szorul.

A valódi áttörést a 2007-ben publikált CVSSv2 hozta el. Ez a verzió már sokkal kifinomultabb metrikákat használt, és széles körben elterjedt az iparágban. A CVSSv2 azonban több kritikát is kapott; például nem kezelte elég árnyaltan a modern, összetett támadási láncokat, és bizonyos esetekben irreálisan magas vagy alacsony pontszámokat eredményezett. A kritikusok gyakran felhozták, hogy a rendszer túlságosan a hálózaton keresztül, távolról kihasználható sebezhetőségekre fókuszált, és nem tett kellő különbséget a különböző jogosultsági szintek között.

A hiányosságok orvoslására született meg 2015-ben a CVSSv3.0, amely gyökeres változásokat hozott. Bevezette a „Scope” (Hatókör) metrikát, amely képes volt modellezni azokat a támadásokat, ahol a sebezhetőség kihasználása egy másik biztonsági környezetre is hatással van. Emellett finomította a jogosultságokkal és a felhasználói interakcióval kapcsolatos metrikákat, realisztikusabb pontszámokat eredményezve. A CVSSv3.0 sokkal jobban tükrözte a modern IT-környezetek valóságát.

Néhány évvel később, 2019-ben érkezett a CVSSv3.1, amely nem hozott alapvető változásokat, inkább egyfajta „finomhangolásnak” tekinthető. Pontosította a definíciókat és az értékelési útmutatókat, hogy csökkentse a félreértelmezések lehetőségét és tovább növelje a pontszámok konzisztenciáját a különböző elemzők között. Jelenleg a CVSSv3.1 a legszélesebb körben használt és elfogadott szabvány a sebezhetőségek értékelésére.

A fejlődés azonban nem állt meg. A kiberfenyegetések folyamatosan változó természete miatt 2023-ban bejelentették a legújabb generációt, a CVSSv4.0-t. Ez a verzió még részletesebb és granulárisabb értékelést tesz lehetővé, külön metrikákat vezet be a fenyegetettségre, a környezeti sajátosságokra és a kiegészítő, kontextuális információkra. A CVSSv4.0 célja, hogy még pontosabb és a valós kockázatokhoz jobban igazodó képet adjon, segítve a szervezeteket a még hatékonyabb védekezésben.

A CVSSv3.1 anatómiája: a metrikacsoportok mélyén

A CVSSv3.1 pontszám három különböző metrikacsoportból épül fel. Ezek a csoportok együttesen adják a sebezhetőség teljes képét, a belső, megváltoztathatatlan tulajdonságoktól kezdve egészen a specifikus környezeti tényezőkig. A három fő csoport a következő: az Alap (Base), az Időbeli (Temporal) és a Környezeti (Environmental) metrikacsoport.

Az Alap pontszám a sebezhetőség veleszületett, statikus jellemzőit írja le, amelyek idővel nem változnak. Az Időbeli pontszám ezt módosítja olyan tényezőkkel, mint például egy nyilvánosan elérhető exploit kód megléte. Végül a Környezeti pontszám teszi lehetővé a szervezetek számára, hogy a pontszámot a saját, egyedi IT-infrastruktúrájukra és biztonsági követelményeikre szabják.

Az alap (Base) metrikacsoport: a sebezhetőség DNS-e

Az Alap (Base) metrikacsoport a CVSS rendszer magja. Olyan tulajdonságokat mér, amelyek a sebezhetőség lényegéhez tartoznak, és függetlenek a külső tényezőktől. Ezt a pontszámot jellemzően a szoftver gyártója vagy a sebezhetőséget felfedező kutató határozza meg. Két alcsoportra bontható: a kihasználhatósági (Exploitability) és a hatás (Impact) metrikákra.

Kihasználhatósági metrikák (Exploitability Metrics)

Ezek a metrikák azt írják le, hogy mennyire könnyű vagy nehéz egy támadónak kihasználnia az adott sebezhetőséget. Négy fő összetevője van:

Támadási Vektor (Attack Vector – AV): Ez a metrika azt határozza meg, hogy a támadónak milyen szintű hozzáférésre van szüksége a sebezhető komponenshez.

  • Hálózati (Network – N): A sebezhetőség távolról, hálózaton keresztül kihasználható. Ez a legveszélyesebb eset, mivel a támadónak nem kell semmilyen helyi hozzáféréssel rendelkeznie.
  • Szomszédos (Adjacent – A): A támadónak ugyanazon a fizikai vagy logikai hálózaton kell lennie, mint a célpontnak (pl. ugyanaz a Wi-Fi hálózat, Bluetooth hatótávolság).
  • Helyi (Local – L): A támadónak helyi hozzáféréssel kell rendelkeznie a rendszerhez (pl. billentyűzeten keresztül, SSH-n bejelentkezve), vagy egy másik, alacsonyabb jogosultságú felhasználói fiókot kell feltörnie.
  • Fizikai (Physical – P): A támadónak fizikai hozzáférésre van szüksége a hardverhez (pl. USB-eszköz csatlakoztatása).

Támadás Komplexitása (Attack Complexity – AC): Azt méri, hogy a támadás sikeres végrehajtásához milyen, a támadó által nem kontrollálható feltételeknek kell teljesülniük.

  • Alacsony (Low – L): Nincsenek speciális feltételek, a sebezhetőség minden esetben kihasználható.
  • Magas (High – H): A támadónak jelentős erőfeszítéseket kell tennie, például le kell győznie speciális védelmi mechanizmusokat, vagy specifikus, nehezen reprodukálható konfigurációs állapotot kell elérnie a rendszeren.

Szükséges Jogosultságok (Privileges Required – PR): Azt írja le, hogy a támadónak milyen jogosultsági szinttel kell rendelkeznie a támadás megkezdéséhez.

  • Nincs (None – N): A támadáshoz nincs szükség semmilyen authentikációra vagy jogosultságra. Ez a legkritikusabb forgatókönyv.
  • Alacsony (Low – L): A támadónak alapvető felhasználói jogosultságokra van szüksége, amelyek nem biztosítanak adminisztrátori szintű hozzáférést.
  • Magas (High – H): A támadónak adminisztrátori vagy ahhoz hasonló, magas szintű jogosultságokkal kell rendelkeznie a sebezhetőség kihasználásához.

Felhasználói Interakció (User Interaction – UI): Azt méri, hogy a támadáshoz szükség van-e a sebezhető rendszer egy felhasználójának aktív közreműködésére.

  • Nincs (None – N): A támadás a felhasználó beavatkozása nélkül is végrehajtható.
  • Szükséges (Required – R): A sikerhez elengedhetetlen, hogy egy felhasználó valamilyen műveletet végezzen, például rákattintson egy rosszindulatú linkre vagy megnyisson egy fertőzött dokumentumot.

Hatás metrikák (Impact Metrics)

Ezek a metrikák azt írják le, hogy a sebezhetőség sikeres kihasználása milyen következményekkel jár a rendszerre nézve. A hatást a kiberbiztonság három alappillére, a bizalmasság (Confidentiality), a sértetlenség (Integrity) és a rendelkezésre állás (Availability) mentén vizsgálja.

Először azonban egy kulcsfontosságú metrikát kell megértenünk, ami a CVSSv3.0 egyik legfontosabb újítása volt:

Hatókör (Scope – S): Ez a metrika azt határozza meg, hogy a sebezhetőség hatása kiterjed-e a sebezhető komponensen kívüli erőforrásokra vagy biztonsági környezetre.

  • Változatlan (Unchanged – U): A sebezhetőség csak abban a szoftverkomponensben vagy biztonsági hatókörben fejti ki hatását, ahol maga a hiba található.
  • Megváltozott (Changed – C): A sebezhetőség kihasználása lehetővé teszi a támadó számára, hogy egy másik biztonsági hatókörbe lépjen át. Például egy webalkalmazásban talált hiba kihasználásával hozzáférést szerez az operációs rendszerhez. A „Scope: Changed” esetek szinte mindig magasabb pontszámot eredményeznek.

A hatás három dimenziója:

Bizalmasság Hatása (Confidentiality Impact – C): Azt méri, hogy a sebezhetőség milyen mértékben teszi lehetővé az adatok illetéktelen felfedését.

  • Nincs (None – N): Nincs hatással a rendszer bizalmasságára.
  • Alacsony (Low – L): Bizonyos adatokhoz való hozzáférést tesz lehetővé, de a támadó nem tudja kontrollálni, hogy mely adatokhoz fér hozzá, vagy a kiszivárgott információ mennyisége korlátozott.
  • Magas (High – H): Teljes hozzáférést biztosít a rendszer által kezelt összes adathoz, beleértve a legérzékenyebbeket is.

Sértetlenség Hatása (Integrity Impact – I): Azt méri, hogy a támadó milyen mértékben képes módosítani a rendszeren tárolt vagy feldolgozott adatokat.

  • Nincs (None – N): Nincs hatással a rendszer sértetlenségére.
  • Alacsony (Low – L): Az adatok módosítása lehetséges, de a hatás korlátozott (pl. csak bizonyos fájlokat érint), vagy a módosítás csak részleges.
  • Magas (High – H): A támadó bármilyen adatot tetszőlegesen módosíthat vagy törölhet a rendszeren, veszélyeztetve annak megbízhatóságát.

Rendelkezésre Állás Hatása (Availability Impact – A): Azt méri, hogy a sebezhetőség kihasználása milyen mértékben befolyásolja a rendszer vagy szolgáltatás elérhetőségét.

  • Nincs (None – N): Nincs hatással a rendszer rendelkezésre állására.
  • Alacsony (Low – L): A rendszer teljesítménye csökken, vagy időszakosan elérhetetlenné válik, de a szolgáltatás nem áll le teljesen.
  • Magas (High – H): A támadó teljes szolgáltatáskiesést (Denial of Service) okozhat, a rendszer teljesen elérhetetlenné válik a jogosult felhasználók számára.

Az időbeli (Temporal) metrikacsoport: a fenyegetettség dinamikája

Az Alap pontszám statikus, de a sebezhetőségek körüli világ dinamikusan változik. Az Időbeli metrikacsoport ezt a változást hivatott modellezni. Olyan tényezőket vesz figyelembe, mint az exploit kódok megjelenése vagy a hivatalos javítások elérhetősége. Ezek az értékek idővel változhatnak, és ennek megfelelően módosíthatják a sebezhetőség teljes pontszámát.

Exploit Kód Érettsége (Exploit Code Maturity – E): Azt írja le, hogy létezik-e és mennyire fejlett a sebezhetőség kihasználására szolgáló kód.

  • Nem definiált (Not Defined – X): Nincs elegendő információ.
  • Bizonyítottan létezik (Proof-of-Concept – P): Létezik egy működő exploit kód, de nem feltétlenül stabil vagy könnyen használható.
  • Funkcionális (Functional – F): Megbízható, könnyen használható exploit kód érhető el.
  • Magas (High – H): Teljesen automatizált, fegyverként használható kód (pl. egy féreg része) létezik, amely széles körben terjedhet.

Javítás Szintje (Remediation Level – RL): Azt méri, hogy milyen típusú javítás érhető el a sebezhetőségre.

  • Nem definiált (Not Defined – X): Nincs elegendő információ.
  • Hivatalos javítás (Official Fix – O): A gyártó kiadott egy teljes értékű, hivatalos javítást.
  • Ideiglenes javítás (Temporary Fix – T): A gyártó ideiglenes megoldást (pl. konfigurációs változtatás) javasol, amíg a végleges javítás elkészül.
  • Kerülő megoldás (Workaround – W): Létezik egy nem hivatalos megoldás vagy konfigurációs változtatás, amely csökkenti a kockázatot.
  • Nem elérhető (Unavailable – U): Nincs semmilyen javítás vagy megoldás.

Jelentés Hitelessége (Report Confidence – RC): Azt mutatja meg, hogy mennyire megbízható a sebezhetőség létezéséről szóló jelentés.

  • Nem definiált (Not Defined – X): Nincs elegendő információ.
  • Megerősített (Confirmed – C): A gyártó vagy egy megbízható forrás megerősítette a sebezhetőség létezését.
  • Valószínű (Reasonable – R): A jelentés részletes, és a hiba létezése valószínű, de még nincs hivatalos megerősítés.
  • Ismeretlen (Unknown – U): A jelentés hitelessége kétséges, vagy ellentmondásos információk állnak rendelkezésre.

A környezeti (Environmental) metrikacsoport: a kontextus ereje

Ez a metrikacsoport teszi a CVSS-t igazán erőssé és rugalmassá. Lehetővé teszi a biztonsági csapatok számára, hogy az általános, globális pontszámot a saját szervezetük specifikus környezetére szabják. Egy sebezhetőség, amely egy tesztrendszeren alacsony kockázatot jelent, egy éles, üzletileg kritikus rendszeren rendkívül súlyos lehet. A Környezeti metrikák ezt a kontextust veszik figyelembe.

Ez a csoport két részből áll. Az első részben a szervezet felülbírálhatja az Alap metrikák értékeit (ezek a Módosított Alap Metrikák), ha a saját környezetükben azok eltérően viselkednek. Például egy hálózaton keresztül kihasználható sebezhetőség (AV:N) egy olyan rendszeren, amely szigorúan tűzfalazva van és csak belső hálózatról érhető el, átértékelhető Helyi (AV:L) vagy Szomszédos (AV:A) vektorra.

A második rész a Biztonsági Követelmények (Security Requirements), amelyek azt mérik, hogy az adott rendszeren a bizalmasság, sértetlenség és rendelkezésre állás mennyire kritikus az üzletmenet szempontjából.

  • Bizalmassági Követelmény (Confidentiality Requirement – CR)
  • Sértetlenségi Követelmény (Integrity Requirement – IR)
  • Rendelkezésre Állási Követelmény (Availability Requirement – AR)

Mindhárom metrika lehetséges értékei: Nem definiált (Not Defined – X)Alacsony (Low – L)Közepes (Medium – M) és Magas (High – H). Például egy nyilvános weboldal esetében a rendelkezésre állás (AR) követelménye Magas, míg a bizalmasságé (CR) lehet, hogy csak Alacsony. Ezzel szemben egy belső adatbázis-szerver esetében a bizalmasság és sértetlenség (CR, IR) Magas, míg a rendelkezésre állás talán csak Közepes.

A pontszám és a vektorstring: hogyan áll össze a kép?

A különböző metrikák értékei egy komplex matematikai képlet alapján állnak össze egyetlen, 0.0 és 10.0 közötti pontszámmá. A felhasználóknak szerencsére nem kell manuálisan számolniuk; a FIRST.org és számos más biztonsági cég is biztosít online CVSS kalkulátorokat, amelyek a metrikák kiválasztása után azonnal megadják a végső pontszámot.

A pontszám mellett a CVSS rendszer egy másik fontos kimenete a vektorstring. Ez egy kompakt, szöveges reprezentációja a kiválasztott metrikáknak, amely lehetővé teszi a teljes értékelés gyors és egyértelmű kommunikációját. Egy tipikus CVSSv3.1 vektorstring így néz ki:

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Ez a string egy rendkívül súlyos sebezhetőséget ír le: távolról, alacsony komplexitással, jogosultság és felhasználói interakció nélkül kihasználható, és a hatása a bizalmasságra, sértetlenségre és rendelkezésre állásra egyaránt magas. Az ilyen vektorstringgel rendelkező sebezhetőségek jellemzően 9.0 és 10.0 közötti pontszámot kapnak.

A pontszámok alapján a sebezhetőségeket általában a következő súlyossági kategóriákba sorolják:

Súlyossági szintPontszám tartomány
Nincs (None)0.0
Alacsony (Low)0.1 – 3.9
Közepes (Medium)4.0 – 6.9
Magas (High)7.0 – 8.9
Kritikus (Critical)9.0 – 10.0

Ez a kategorizálás segít a biztonsági csapatoknak gyorsan felmérni a helyzetet és rangsorolni a javítási feladatokat. Egy kritikus (Critical) besorolású sebezhetőségre azonnali figyelmet kell fordítani, míg egy alacsony (Low) besorolásúval ráérnek a soron következő karbantartási ciklusban foglalkozni.

A CVSS korlátai és a gyakori félreértések

Bár a CVSS egy rendkívül hasznos eszköz, fontos tisztában lenni a korlátaival és elkerülni a gyakori félreértéseket. A legfontosabb tévhit, hogy a CVSS pontszám egyenlő a kockázattal.

A CVSS a sebezhetőség technikai súlyosságát méri, nem pedig a szervezetünket érintő valós üzleti kockázatot. A kockázat egy sokkal összetettebb fogalom, amely a súlyosság mellett figyelembe veszi a fenyegetettséget (valaki aktívan kihasználja-e a sebezhetőséget?) és az eszköz értékét is.

Egy 10.0-s, kritikus sebezhetőség egy elszigetelt, nem üzletkritikus tesztrendszeren valószínűleg alacsonyabb kockázatot jelent, mint egy 7.5-ös, magas besorolású hiba egy internetre kitett, ügyféladatokat kezelő éles szerveren. A CVSS pontszám tehát a kockázatértékelési folyamat egyik fontos bemenete, de nem helyettesíti azt.

További gyakori probléma, hogy sok szervezet kizárólag az Alap (Base) pontszámra támaszkodik, és figyelmen kívül hagyja az Időbeli és Környezeti metrikákat. Ez torzított képhez vezethet. Az Időbeli metrikák figyelmen kívül hagyása azt jelenti, hogy nem vesszük számításba, ha egy sebezhetőségre már létezik könnyen használható exploit. A Környezeti metrikák mellőzése pedig azt eredményezi, hogy a priorizálás nem a szervezet sajátosságaihoz, hanem egy általános, kontextus nélküli skálához igazodik.

A jövő kapujában: bemutatkozik a CVSSv4.0

A kiberbiztonsági környezet folyamatos változása szükségessé tette a CVSS rendszer továbbfejlesztését. A CVSSv4.0 célja, hogy még finomabb, granulárisabb és kontextuálisabb értékelést tegyen lehetővé, orvosolva a v3.1 néhány hiányosságát. Bár a teljes átállás még időt vesz igénybe, fontos megismerkedni a legfontosabb újításokkal.

A CVSSv4.0 új metrikacsoportokat vezet be:

  • Threat (Fenyegetettség): Ez a csoport lényegében a korábbi Időbeli metrikák egy részét veszi át, de a hangsúlyt az exploit kód érettségére helyezi (Exploit Maturity – E).
  • Environmental (Környezeti): Megmarad, de kibővül és pontosabbá válik, lehetővé téve az Alap metrikák mellett a Biztonsági Követelmények (CR, IR, AR) még részletesebb testreszabását.
  • Supplemental (Kiegészítő): Ez egy teljesen új metrikacsoport, amely olyan kontextuális információkat tartalmaz, amelyek nem befolyásolják a pontszámot, de fontosak lehetnek a védekezés szempontjából.

A legjelentősebb változások az Alap (Base) metrikacsoportot érintik. A CVSSv4.0 megkülönbözteti a sebezhető rendszerre (Vulnerable System) és a következő rendszerekre (Subsequent Systems) gyakorolt hatást. Ez sokkal pontosabban modellezi azokat a támadásokat, ahol a támadó a feltört rendszeren keresztül más, értékesebb rendszerekhez is hozzáférést szerez (Scope: Changed esetek).

Néhány kulcsfontosságú új vagy megváltozott metrika a CVSSv4.0-ban:

Attack Complexity (AC) helyett Attack Requirements (AT): Az új metrika jobban leírja azokat a specifikus feltételeket, amelyeknek a támadás előtt teljesülniük kell a sebezhető rendszeren (pl. egy speciális, nem alapértelmezett konfiguráció).

Új Biztonsági Követelmény metrikák: A Confidentiality (VC), Integrity (VI) és Availability (VA) hatásokat külön mérik a sebezhető és a következményes rendszereken. Ez óriási előrelépés a pontosság terén.

Új Kiegészítő (Supplemental) metrikák:

  • Automatizálható (Automatable – A): A támadás automatizálható-e széles körben?
  • Helyreállítás (Recovery – R): A rendszer milyen könnyen állítható helyre a támadás után?
  • Értéksűrűség (Value Density – V): A támadás során egyetlen tranzakcióval mekkora értékhez jut a támadó?
  • Válaszadási Erőfeszítés (Vulnerability Response Effort – RE): Mennyire komplex a javítás telepítése?

A CVSSv4.0 egyértelműen a részletesebb, kontextus-érzékenyebb értékelés felé mozdul el. Bár a használata bonyolultabbnak tűnhet, a nyert többletinformáció segíti a szervezeteket a még intelligensebb és hatékonyabb sebezhetőségkezelési stratégiák kialakításában. A jövőben a CVSS pontszámok mellett egyre gyakrabban fogunk találkozni a kiegészítő attribútumokkal is, amelyek teljesebb képet adnak a fenyegetés valódi természetéről.

A CVSS a gyakorlatban: hogyan használjuk hatékonyan?

A CVSS rendszer megértése önmagában nem elég; a benne rejlő potenciált a mindennapi sebezhetőségkezelési folyamatokba való integrálással lehet kiaknázni. A CVSS pontszámok a priorizálás alapkövei. A biztonsági csapatoknak a legmagasabb pontszámú, különösen a kritikus (9.0+) besorolású sebezhetőségekre kell fókuszálniuk.

Egy hatékony folyamat során a szervezetnek nem szabad megállnia az Alap pontszámnál. A sebezhetőség-szkenner által jelentett pontszámot ki kell egészíteni a saját környezeti információkkal. Fel kell tenni a kérdéseket: Az érintett rendszer mennyire kritikus? Milyen adatok vannak rajta? Milyen védelmi vonalak (pl. tűzfal, WAF) vannak előtte? A Környezeti pontszám kiszámítása segít a valódi kockázat felmérésében.

A CVSS pontszámok kiválóan alkalmasak a szolgáltatási szint megállapodások (SLA-k) definiálására is. A szervezet meghatározhatja, hogy egy kritikus sebezhetőséget 24 órán belül, egy magasat 7 napon belül, egy közepeset pedig 30 napon belül kell javítani. Ez mérhetővé és számonkérhetővé teszi a sebezhetőségkezelési programot.

A CVSS egyben egy kommunikációs eszköz is. A numerikus pontszám és a súlyossági kategória egyértelmű üzenetet közvetít a technikai és a nem technikai vezetők felé egyaránt. Egy „9.8-as kritikus sebezhetőség” sokkal hatásosabb érv a szükséges erőforrások biztosítására, mint egy homályos technikai leírás. A CVSS segít hidat építeni a biztonsági szakma és az üzleti döntéshozók világa között, biztosítva, hogy a kiberbiztonsági erőfeszítések összhangban legyenek a szervezet üzleti céljaival.

TAGGED:
Megosztás
Hozzászólások

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük