C betűs definíciókKiberbiztonságTechnológiai rövidítések

Common Vulnerability Scoring System (CVSS): a biztonsági sebezhetőségek súlyosságát értékelő rendszer működése

A Common Vulnerability Scoring System (CVSS) egy egységes módszer a biztonsági sebezhetőségek súlyosságának értékelésére. Segítségével könnyen megérthetjük, mennyire veszélyes egy adott hiba, és prioritást állíthatunk fel a javítások között. Ez a rendszer támogatja a hatékonyabb védekezést a kibertámadások ellen.
ITSZÓTÁR.hu
By ITSZÓTÁR.hu
30 Min Read
Gyors betekintő

A modern digitális környezetben a szervezetek folyamatosan ki vannak téve a kiberfenyegetéseknek. Az új sebezhetőségek szinte napi szinten bukkannak fel, és mindegyik potenciális belépési pontot jelenthet a támadók számára. A biztonsági szakemberek számára az egyik legnagyobb kihívás az, hogy ezen sebezhetőségek tömegéből azonosítsák azokat, amelyek a legnagyobb kockázatot jelentik, és sürgős beavatkozást igényelnek. Ehhez a feladathoz nyújt szabványosított és objektív segítséget a Common Vulnerability Scoring System (CVSS), egy nyílt ipari szabvány, amely a szoftveres sebezhetőségek súlyosságát értékeli.

A CVSS nem csupán egy puszta szám, hanem egy komplex módszertan, amely lehetővé teszi a szervezetek számára, hogy egységesen és következetesen értékeljék a biztonsági hibák potenciális hatását. Ennek köszönhetően a különböző sebezhetőségek összehasonlíthatóvá válnak, ami alapvető fontosságú a kockázatkezelési stratégiák kidolgozásában és a rendelkezésre álló erőforrások hatékony elosztásában. A rendszer segítségével a biztonsági csapatok prioritizálhatják a javítási feladatokat, és a legsúlyosabb fenyegetésekre fókuszálhatnak először, minimalizálva ezzel a támadások kockázatát és a potenciális károkat.

A sebezhetőségek értékelésének szükségessége és a CVSS születése

A digitális rendszerek komplexitása és a sebezhetőségek exponenciális növekedése már a 2000-es évek elején rámutatott egy egységes értékelési mechanizmus hiányára. Korábban a sebezhetőségek súlyosságát gyakran szubjektív módon, egyedi mérlegelések alapján határozták meg, ami inkonzisztenciákhoz és félreértésekhez vezetett. Egyik szervezet „közepesnek” ítélhetett egy hibát, míg egy másik „kritikusnak” minősíthette ugyanazt, ami komoly problémákat okozott a kommunikációban és a koordinációban.

Ezt a hiányosságot felismerve az Information Technology – Information Sharing and Analysis Center (IT-ISAC) kezdeményezésére 2004-ben elindult a CVSS fejlesztése. A cél egy olyan nyílt, szabványosított keretrendszer létrehozása volt, amely objektív módon képes leírni a sebezhetőségek jellemzőit, és ezek alapján egy reprodukálható, numerikus pontszámot adni. Ez a pontszám segítené a szervezeteket a sebezhetőségek priorizálásában és a megfelelő válaszlépések meghatározásában, függetlenül attól, hogy milyen iparágban vagy környezetben működnek.

Az első verzió, a CVSS v1, 2004-ben jelent meg, majd 2007-ben követte a széles körben elterjedt CVSS v2. Ez utóbbi már számos fontos fejlesztést tartalmazott, és hamarosan iparági szabvánnyá vált. A v2 azonban nem volt tökéletes, és a kiberbiztonsági táj folyamatos fejlődése újabb kihívásokat támasztott. A mobil eszközök, a felhőalapú szolgáltatások és az IoT elterjedése olyan új támadási vektorokat és hatásokat hozott magával, amelyeket a régi metrikák már nem tudtak kellőképpen lefedni.

Ezek a hiányosságok vezettek a CVSS v3.0 kidolgozásához, amelyet 2015-ben publikáltak. A v3.0 számos új metrikát és finomítást vezetett be, hogy jobban tükrözze a modern fenyegetéseket és a komplex informatikai környezeteket. A rendszer azóta is folyamatosan fejlődik, és a legújabb stabil verzió a CVSS v3.1, amelyet 2019-ben adtak ki. Jelenleg a következő generációs CVSS v4.0 fejlesztése zajlik, amely további jelentős újításokat ígér, még pontosabb és kontextus-érzékenyebb értékelést téve lehetővé.

A CVSS alapjai: Hogyan épül fel a pontszám?

A CVSS rendszere három fő metrikus csoportra oszlik, amelyek együttesen határozzák meg egy sebezhetőség végső súlyosságát. Ezek a csoportok a Base (Alap), Temporal (Időbeli) és Environmental (Környezeti) metrikák. Mindegyik csoport a sebezhetőség egy-egy aspektusát vizsgálja, és a belőlük származó pontszámok kombinálásával kapjuk meg a végső CVSS pontszámot, amely 0.0 és 10.0 közötti értéket vesz fel.

A Base metrikák a sebezhetőség inherens, időtlen jellemzőit írják le. Ezek a tulajdonságok nem változnak az idő múlásával vagy a környezet függvényében. Ide tartoznak a támadás komplexitása, a szükséges jogosultságok, a felhasználói interakció szükségessége és a potenciális hatás (bizalmasság, integritás, rendelkezésre állás). A Base pontszám a sebezhetőség alapvető súlyosságát fejezi ki, és ez az, amit a legtöbb biztonsági adatbázis, például a National Vulnerability Database (NVD), publikál.

A Temporal metrikák a sebezhetőség időbeli fejlődését tükrözik. Ezek az értékek változhatnak, ahogy új információk válnak elérhetővé, vagy ahogy a sebezhetőség kihasználhatósága módosul. Például, ha megjelenik egy exploit kód, vagy ha a gyártó kiad egy javítást, a Temporal pontszám ennek megfelelően változhat. Ezek a metrikák segítenek a biztonsági csapatoknak abban, hogy a legfrissebb információk alapján priorizálják a javítási feladatokat.

Az Environmental metrikák a szervezet egyedi környezetét és a sebezhetőségre vonatkozó kockázati toleranciáját veszik figyelembe. Ezek a metrikák lehetővé teszik a szervezetek számára, hogy finomhangolják a CVSS pontszámot a saját specifikus körülményeikhez. Ide tartoznak például a bizalmassági, integritási és rendelkezésre állási követelmények, valamint az esetleges enyhítő tényezők. Az Environmental pontszám a leginkább személyre szabott, és a legpontosabban tükrözi a sebezhetőség valós kockázatát egy adott szervezet számára.

A CVSS nem csupán egy szám, hanem egy közös nyelv, amely lehetővé teszi a biztonsági szakemberek számára, hogy objektíven kommunikáljanak a sebezhetőségek súlyosságáról.

A három metrikus csoport kombinációja biztosítja a CVSS rugalmasságát és pontosságát. Míg a Base pontszám egy általános képet ad, a Temporal és Environmental metrikák hozzáadásával a szervezetek egy sokkal valósághűbb és relevánsabb kockázati értékelést kaphatnak, amely segít nekik a tájékozott döntések meghozatalában.

A CVSS v3.x részletesen: A modern fenyegetések értékelése

A CVSS v3.x (beleértve a v3.0 és v3.1 verziókat) a Common Vulnerability Scoring System legelterjedtebb és leginkább elfogadott iterációja. Bevezetése jelentős előrelépést hozott a sebezhetőségek értékelésében, különösen a modern, komplex rendszerek és támadási felületek kontextusában. A v3.x fő célja az volt, hogy kiküszöbölje a v2 néhány hiányosságát, és pontosabban tükrözze a valós világban tapasztalható fenyegetéseket.

A v3.x rendszer továbbra is a három fő metrikus csoportra épül, de számos finomítást és újítást vezetett be. A Base metrikák például részletesebben írják le a támadási vektorokat és komplexitásokat, míg az Impact metrikák a hatásokat még differenciáltabban kezelik. Nézzük meg részletesebben ezeket a csoportokat és az általuk használt metrikákat.

Base metrikus csoport: A sebezhetőség inherens tulajdonságai

A Base metrikák a sebezhetőség alapvető, időtől és környezettől független jellemzőit írják le. Ezek a metrikák két alcsoportra oszthatók: az Exploitability (Kihasználhatóság) metrikákra és az Impact (Hatás) metrikákra.

Exploitability metrikák: A támadás nehézségének mérése

Ezek a metrikák azt írják le, mennyire könnyen vagy nehezen lehet kihasználni egy sebezhetőséget. A magasabb kihasználhatósági pontszám általában magasabb Base pontszámot eredményez.

  • Attack Vector (AV) – Támadási vektor:

    Azt írja le, hogy a támadónak milyen hálózati közelségben kell lennie a célrendszerhez a sebezhetőség kihasználásához.

    • Network (N): A támadó távolról, a hálózaton keresztül is kihasználhatja a sebezhetőséget. Ez a legrosszabb forgatókönyv, a legmagasabb pontszámmal.
    • Adjacent (A): A támadónak ugyanazon a fizikai vagy logikai hálózati szegmensen kell lennie, mint a célrendszernek (pl. WLAN, Bluetooth).
    • Local (L): A támadónak helyi hozzáférésre van szüksége a célrendszerhez (pl. SSH-n keresztül bejelentkezve, vagy fizikai hozzáféréssel).
    • Physical (P): A támadónak fizikai hozzáférésre van szüksége a célrendszerhez, és képes manipulálni azt (pl. USB stick behelyezése, bootolás külső médiáról). Ez a legalacsonyabb pontszám.
  • Attack Complexity (AC) – Támadási komplexitás:

    Azt írja le, mennyire bonyolult a sebezhetőség sikeres kihasználása. Figyelembe veszi a támadó képességeit és a célrendszer konfigurációját.

    • Low (L): A támadás könnyen megvalósítható, nincs szükség speciális ismeretekre vagy feltételekre.
    • High (H): A támadáshoz speciális feltételek, időzítés, vagy fejlett technikák szükségesek, amelyek megnehezítik a kihasználást.
  • Privileges Required (PR) – Szükséges jogosultságok:

    Azt jelzi, hogy a támadónak milyen szintű jogosultságokkal kell rendelkeznie a célrendszeren a sebezhetőség kihasználásához.

    • None (N): Nincs szükség jogosultságra.
    • Low (L): A támadónak alapvető felhasználói jogosultságokra van szüksége.
    • High (H): A támadónak adminisztrátori vagy root jogosultságokra van szüksége.
  • User Interaction (UI) – Felhasználói interakció:

    Azt írja le, hogy a sebezhetőség kihasználásához szükség van-e emberi beavatkozásra a felhasználó részéről (pl. linkre kattintás, fájl megnyitása).

    • None (N): Nincs szükség felhasználói interakcióra.
    • Required (R): Szükséges felhasználói interakció (pl. phising, social engineering).
  • Scope (S) – Hatókör:

    Azt jelzi, hogy a sebezhetőség kihasználása befolyásolhatja-e a biztonsági határt, azaz képes-e a támadó a sebezhetőség kihasználásával egy másik biztonsági tartományba kerülni, mint ahol eredetileg volt.

    • Unchanged (U): A sebezhetőség kihasználása ugyanazon biztonsági tartományon belül marad.
    • Changed (C): A sebezhetőség kihasználása lehetővé teszi a támadó számára, hogy átlépjen egy másik biztonsági tartományba (pl. egy virtualizált környezetből a host rendszerre). Ez súlyosabb hatást jelent.

Impact metrikák: A támadás potenciális következményei

Ezek a metrikák azt írják le, hogy a sebezhetőség sikeres kihasználása milyen mértékben károsíthatja a rendszer bizalmasságát, integritását és rendelkezésre állását. A magasabb hatású metrikák magasabb Base pontszámot eredményeznek.

  • Confidentiality (C) – Bizalmasság:

    Azt értékeli, hogy a sebezhetőség kihasználása milyen mértékben sértheti az adatok bizalmasságát.

    • None (N): Nincs hatás.
    • Low (L): Bizalmas adatok korlátozott felfedése.
    • High (H): Bizalmas adatok teljes felfedése.
  • Integrity (I) – Integritás:

    Azt értékeli, hogy a sebezhetőség kihasználása milyen mértékben sértheti az adatok vagy a rendszer integritását (pontosságát, teljességét).

    • None (N): Nincs hatás.
    • Low (L): Adatok korlátozott módosítása vagy manipulációja.
    • High (H): Adatok teljes módosítása vagy manipulációja, vagy a rendszer integritásának teljes megsértése.
  • Availability (A) – Rendelkezésre állás:

    Azt értékeli, hogy a sebezhetőség kihasználása milyen mértékben befolyásolhatja a szolgáltatások vagy erőforrások rendelkezésre állását.

    • None (N): Nincs hatás.
    • Low (L): Korlátozott szolgáltatásmegtagadás vagy erőforrás-elérés korlátozása.
    • High (H): Teljes szolgáltatásmegtagadás vagy erőforrás-elérés teljes megszakítása.

A Base metrikákból számított pontszám egy komplex matematikai képlet eredménye, amely figyelembe veszi az összes fenti tényezőt. Ez a pontszám 0.0 és 10.0 közötti értéket vesz fel, és ez az alapja minden további értékelésnek.

Temporal metrikus csoport: Az időbeli változások figyelembe vétele

A Temporal metrikák azt tükrözik, hogy a sebezhetőség kihasználhatósága és a kockázat hogyan változik az idő múlásával. Ezek az értékek a Base pontszámot módosítják, általában lefelé, ahogy a fenyegetés valószínűsége vagy hatékonysága csökken. Három fő Temporal metrika létezik:

  • Exploit Code Maturity (E) – Exploit kód érettsége:

    Azt írja le, hogy mennyire fejlett és nyilvánosan elérhető a sebezhetőség kihasználására alkalmas exploit kód.

    • Not Defined (X): Nincs meghatározva (az érték nem befolyásolja a pontszámot).
    • High (H): Funkcionális exploit kód széles körben elérhető és megbízható.
    • Functional (F): Funkcionális exploit kód létezik, de lehet, hogy nem széles körben elérhető vagy megbízható.
    • Proof of Concept (P): Csak Proof of Concept (PoC) kód létezik, ami demonstrálja a sebezhetőség kihasználhatóságát, de nem feltétlenül működik megbízhatóan.
    • Unproven (U): Nincs ismert exploit kód.
  • Remediation Level (RL) – Javítási szint:

    Azt írja le, hogy mennyire hatékonyan áll rendelkezésre javítás vagy enyhítő intézkedés a sebezhetőség ellen.

    • Not Defined (X): Nincs meghatározva.
    • Unavailable (U): Nincs javítás vagy enyhítő intézkedés.
    • Workaround (W): Átmeneti megoldás vagy konfigurációs változtatás áll rendelkezésre.
    • Temporary Fix (T): Ideiglenes javítás vagy patch elérhető.
    • Official Fix (O): Hivatalos, végleges javítás vagy patch elérhető. Ez a legalacsonyabb pontszám.
  • Report Confidence (RC) – Jelentés megbízhatósága:

    Azt tükrözi, hogy mennyire megbízhatóak a sebezhetőségről szóló információk és a felfedezés módszertana.

    • Not Defined (X): Nincs meghatározva.
    • Unknown (U): A sebezhetőség létezése vagy részletei bizonytalanok.
    • Reasonable (R): A sebezhetőség létezése valószínű, de nincs teljes körű megerősítés.
    • Confirmed (C): A sebezhetőség létezése megerősített, hiteles forrásból származó információk állnak rendelkezésre. Ez a legmagasabb pontszám.

A Temporal metrikák lehetővé teszik a szervezetek számára, hogy dinamikusan alkalmazkodjanak a változó fenyegetettségi környezethez, és a friss információk alapján finomhangolják a prioritásokat. Például, ha egy kritikus sebezhetőségre kiadnak egy hivatalos javítást, a Temporal pontszám csökkenhet, jelezve, hogy a kockázat mérsékeltebbé vált, feltéve, hogy a javítást alkalmazták.

Environmental metrikus csoport: A szervezet egyedi kontextusa

Az Environmental metrikák a CVSS rendszer leginkább testreszabható részét képezik. Ezek lehetővé teszik a szervezetek számára, hogy a sebezhetőségi pontszámot a saját egyedi informatikai infrastruktúrájuk, biztonsági politikájuk és üzleti prioritásaik szerint módosítsák. Ez a csoport két fő részből áll: a módosított Base metrikákból és a követelmény metrikákból.

Módosított Base metrikák

Az Environmental metrikus csoportban újraértékelhetők a Base metrikák, figyelembe véve a szervezet specifikus enyhítő intézkedéseit vagy a célrendszer egyedi konfigurációját. Például:

  • Modified Attack Vector (MAV): Ha a szervezet szigorú hálózati szegmentációt alkalmaz, egy „Network” támadási vektor valós kockázata csökkenhet.
  • Modified Attack Complexity (MAC): Ha a rendszer speciális védelmi mechanizmusokkal rendelkezik, amelyek megnehezítik a kihasználást, az „Attack Complexity” értéke „High”-ra módosítható.
  • Modified Privileges Required (MPR): Ha a rendszeren szigorú jogosultságkezelés van érvényben, ami megakadályozza az alacsony jogosultságú felhasználók bizonyos műveleteit, a „Privileges Required” értéke „High”-ra módosítható.
  • Modified User Interaction (MUI): Ha a szervezet erőteljes felhasználói tudatosságra épít, vagy technikai megoldásokkal szűri a rosszindulatú tartalmakat, a felhasználói interakcióval járó kockázat csökkenhet.
  • Modified Scope (MS): Ha a rendszer virtualizált környezetben fut, és a virtualizációs platform erős izolációt biztosít, a „Scope” értékét lehet, hogy „Unchanged”-re kell módosítani még akkor is, ha a Base metrikák „Changed”-et jeleznének.
  • Modified Confidentiality (MC), Integrity (MI), Availability (MA): Ezek a metrikák lehetővé teszik a szervezet számára, hogy felülírja a Base metrikák által becsült hatást, figyelembe véve a saját üzleti adataik érzékenységét, az adatok integritásának fontosságát és a szolgáltatások rendelkezésre állásának kritikus jellegét.

Követelmény metrikák

Ezek a metrikák azt fejezik ki, hogy a szervezet számára mennyire fontos a bizalmasság, integritás és rendelkezésre állás az érintett rendszer vagy adatok szempontjából. Ezek a metrikák súlyozó faktorként működnek a módosított Impact metrikákra.

  • Confidentiality Requirement (CR) – Bizalmassági követelmény:

    Azt jelzi, mennyire kritikus a bizalmasság az érintett adatok vagy rendszer szempontjából.

    • Not Defined (X): Nincs meghatározva.
    • Low (L): Alacsony bizalmassági követelmény.
    • Medium (M): Közepes bizalmassági követelmény.
    • High (H): Magas bizalmassági követelmény.
  • Integrity Requirement (IR) – Integritási követelmény:

    Azt jelzi, mennyire kritikus az integritás az érintett adatok vagy rendszer szempontjából.

    • Not Defined (X): Nincs meghatározva.
    • Low (L): Alacsony integritási követelmény.
    • Medium (M): Közepes integritási követelmény.
    • High (H): Magas integritási követelmény.
  • Availability Requirement (AR) – Rendelkezésre állási követelmény:

    Azt jelzi, mennyire kritikus a rendelkezésre állás az érintett adatok vagy rendszer szempontjából.

    • Not Defined (X): Nincs meghatározva.
    • Low (L): Alacsony rendelkezésre állási követelmény.
    • Medium (M): Közepes rendelkezésre állási követelmény.
    • High (H): Magas rendelkezésre állási követelmény.

Az Environmental metrikák alkalmazásával a szervezet képes a legpontosabb és legrelevánsabb kockázati értékelést generálni, amely figyelembe veszi a saját egyedi kontextusát. Ez elengedhetetlen a hatékony kockázatkezeléshez és a biztonsági erőforrások optimális elosztásához.

A CVSS v3.x pontszámok értelmezése és kategóriái

A CVSS v3.x pontszámok egy 0.0 és 10.0 közötti skálán helyezkednek el, és öt súlyossági kategóriába sorolhatók. Ezek a kategóriák segítik a gyors és intuitív értelmezést, valamint a prioritások meghatározását.

Súlyosság Pontszám tartomány Leírás
None (Nincs) 0.0 Nincs hatás, vagy a kockázat elhanyagolható.
Low (Alacsony) 0.1 – 3.9 Minimális kockázatot jelent, alacsony hatás és/vagy nehezen kihasználható.
Medium (Közepes) 4.0 – 6.9 Közepes kockázatot jelent, amely potenciálisan jelentős, de nem kritikus hatással járhat.
High (Magas) 7.0 – 8.9 Jelentős kockázatot jelent, amely súlyos hatásokkal járhat, és komoly figyelmet igényel.
Critical (Kritikus) 9.0 – 10.0 A legmagasabb kockázatot jelöli, azonnali beavatkozást igényel. A kihasználás súlyos, széleskörű károkat okozhat.

Fontos megjegyezni, hogy bár a CVSS pontszám egy objektív mérés, a kategóriákba sorolás és az arra adott válasz még mindig szervezetfüggő lehet. Egy „Magas” sebezhetőség egy kisvállalat számára más sürgősséget jelenthet, mint egy nagyvállalat számára, amely kritikus infrastruktúrát üzemeltet.

A CVSS v4.0: A jövő felé vezető út a sebezhetőség értékelésében

A CVSS v4.0 pontosabb és dinamikusabb sebezhetőség pontozást kínál.
A CVSS v4.0 fejlesztése a komplexabb fenyegetések pontosabb értékelését és a gyorsabb reagálást célozza meg.

A kiberbiztonság világa sosem áll meg, és a fenyegetések jellege, valamint a technológiai környezet folyamatosan változik. Ennek megfelelően a CVSS rendszernek is fejlődnie kell, hogy lépést tartson ezekkel a változásokkal. Ezt a célt szolgálja a CVSS v4.0, amely a következő generációs szabvány lesz, és jelentős fejlesztéseket ígér a sebezhetőségek értékelésében.

A v4.0 fejlesztésének mozgatórugói többek között a következők voltak:

  • Operacionális komplexitás csökkentése: A v3.x egyes metrikáinak értelmezése és alkalmazása néha bonyolultnak bizonyult, különösen az automatizált rendszerek számára. A v4.0 célja az egyszerűsítés és a következetesség növelése.
  • Automatizálás és gépi értelmezhetőség javítása: A modern sebezhetőség-kezelési eszközök nagymértékben támaszkodnak az automatizálásra. A v4.0 metrikáit úgy tervezték, hogy jobban támogassák a gépi feldolgozást és az automatikus pontszámítást.
  • Modern fenyegetések lefedése: Az IoT, az OT (Operational Technology) és a felhőalapú rendszerek terjedése új típusú sebezhetőségeket és kockázatokat hozott. A v4.0 igyekszik ezeket is figyelembe venni.
  • Kontextus-érzékenység növelése: Bár a v3.x Environmental metrikái már lehetővé tették a testreszabást, a v4.0 még mélyebben be kívánja építeni a szervezet-specifikus kontextust a pontszámításba.
  • Fókusz a kárra és a hatásra: A v4.0 nagyobb hangsúlyt fektet a sebezhetőség által okozott tényleges üzleti és operacionális károkra, beleértve a biztonságon túli hatásokat is, mint például a megbízhatóság vagy a magánélet sérülése.

Főbb változások és újdonságok a CVSS v4.0-ban

A CVSS v4.0 számos új metrikát és változtatást vezet be, amelyek célja a pontosság és a relevancia növelése. Néhány kiemelkedő változás:

  • Új metrikák a Base csoportban:

    • Attack Requirements (AR): Ez a metrika a támadáshoz szükséges speciális feltételeket írja le, amelyek nem illeszkednek az Attack Complexity alá. Például, ha egy adott időablakban kell végrehajtani a támadást.
    • Value Density (VD) és Vulnerability Response Effort (VRE): Ezek a metrikák a sebezhetőség által érintett adatok értékét és a javításhoz szükséges erőfeszítéseket veszik figyelembe.
  • Változások a meglévő metrikákban:

    • Az Attack Vector és Attack Complexity metrikák finomhangolásra kerültek, hogy még pontosabban tükrözzék a valós kihasználhatóságot.
    • A Scope metrika helyett bevezetésre került a Subsequent System Impact (SSI), amely a láncolt támadások és a más rendszerekre gyakorolt hatás jobb leírását teszi lehetővé.
  • Supplemental Metrics (Kiegészítő metrikák):

    A v4.0 bevezeti a Supplemental metrikákat, amelyek további, nem pontszámítási célú információkat szolgáltatnak a sebezhetőségről. Ezek a metrikák segítik a kontextus megértését és a kockázatkezelési döntéseket, anélkül, hogy közvetlenül befolyásolnák a numerikus pontszámot. Ide tartozhatnak például:

    • Automatable (AU): Azt jelzi, hogy a sebezhetőség kihasználása automatizálható-e.
    • Safety (S), Reliability (R), Privacy (P): Ezek a metrikák a sebezhetőség lehetséges hatását írják le az operatív technológiák (OT) és az IoT rendszerek kontextusában, figyelembe véve a fizikai biztonságra, a megbízhatóságra és a magánéletre gyakorolt hatásokat.
    • Environmental metrics for OT/IoT: Specifikus környezeti metrikák az ipari vezérlőrendszerek és az IoT eszközök számára.
  • Egyszerűsített metrikus csoportok:

    A v4.0 egyértelműbbé teszi a metrikus csoportok közötti megkülönböztetést, és bevezet négy különböző pontszám-típust, amelyek a használt metrikus csoportoktól függenek:

    • CVSS-B (Base Score): Csak a Base metrikákat tartalmazza.
    • CVSS-BT (Base + Threat Score): A Base metrikákat és az új „Threat” (fenyegetés) metrikákat kombinálja, amelyek a Temporal metrikák egyszerűsített és megbízhatóbb változatai.
    • CVSS-BTA (Base + Threat + Augmented Score): A Base és Threat metrikák mellett további, egyedi szervezeti igényekre szabott „Augmented” metrikákat is tartalmaz.
    • CVSS-BTI (Base + Threat + Impact Score): Ez a legteljesebb pontszám, amely a Base, Threat és Impact (környezeti hatás) metrikákat veszi figyelembe, lehetővé téve a legmélyebb kontextuális értékelést.

A CVSS v4.0 bevezetése várhatóan fokozatosan történik majd, és a biztonsági közösségnek időre lesz szüksége az új rendszer elsajátításához és integrálásához. Azonban az ígért fejlesztések, különösen az automatizálás, a kontextus-érzékenység és az OT/IoT specifikus metrikák terén, jelentősen hozzájárulhatnak a sebezhetőség-kezelés hatékonyságának növeléséhez a jövőben.

A CVSS előnyei és korlátai a gyakorlatban

Bár a CVSS egy rendkívül hasznos eszköz a sebezhetőségek súlyosságának értékelésében, fontos megérteni annak előnyeit és korlátait is, hogy a szervezetek a lehető leghatékonyabban alkalmazhassák.

Előnyök:

  • Standardizálás és egységes kommunikáció:

    A CVSS globálisan elfogadott szabvány, amely lehetővé teszi a biztonsági szakemberek, gyártók és felhasználók számára, hogy egy közös nyelven beszéljenek a sebezhetőségekről. Ez megkönnyíti az információáramlást és a koordinációt a különböző entitások között.

  • Objektivitás és reprodukálhatóság:

    A metrikák és a pontszámítási képletek objektívek, így a CVSS pontszám reprodukálható. Két különböző elemzőnek, aki ugyanazokat a metrikákat alkalmazza, ugyanazt a pontszámot kell kapnia, ami növeli az értékelés megbízhatóságát.

  • Priorizálás és erőforrás-elosztás:

    A numerikus pontszám és a súlyossági kategóriák egyértelmű útmutatást adnak a sebezhetőségek priorizálásához. A szervezetek gyorsan azonosíthatják a legkritikusabb problémákat, és oda irányíthatják az erőforrásokat, ahol a legnagyobb szükség van rájuk.

  • Dinamikus értékelés (Temporal és Environmental metrikák):

    A Temporal metrikák lehetővé teszik a pontszám frissítését az idő múlásával (pl. exploit kód megjelenése, javítás kiadása), míg az Environmental metrikák biztosítják a szervezet-specifikus kontextus figyelembevételét. Ez rugalmassá és relevánssá teszi az értékelést.

  • Automatizálhatóság:

    A CVSS metrikák és a pontszámítás automatizálhatók, ami lehetővé teszi a nagyszámú sebezhetőség gyors és hatékony feldolgozását a sebezhetőség-kezelő eszközökben és platformokon.

Korlátok:

  • Nem teljes körű kockázatkezelési eszköz:

    A CVSS kizárólag a sebezhetőség súlyosságát méri, nem pedig a teljes kockázatot. A kockázat nemcsak a sebezhetőség súlyosságából, hanem a fenyegetés valószínűségéből (ki akarja kihasználni, és milyen gyakran?) és az eszköz értékéből is fakad. A CVSS önmagában nem veszi figyelembe a támadó motivációját, képességét, vagy az érintett rendszer üzleti értékét.

  • Kontextus hiánya (Base Score):

    A széles körben publikált Base Score nem veszi figyelembe a szervezet egyedi környezetét. Egy „High” sebezhetőség egy nyilvános webkiszolgálón sokkal kritikusabb lehet, mint ugyanaz a sebezhetőség egy belső, izolált tesztrendszeren.

  • Emberi tényező és szubjektivitás:

    Bár a CVSS objektív, a metrikák értékeinek megállapítása (különösen a Temporal és Environmental metrikák esetében) mégis igényel emberi értelmezést és döntést, ami bevezethet némi szubjektivitást.

  • Túl komplex rendszerekben való alkalmazás:

    Nagy, elosztott rendszerekben, ahol a sebezhetőségek láncolatokon keresztül fejthetik ki hatásukat, a CVSS pontszámítása bonyolulttá válhat, és nem feltétlenül tükrözi a rendszer egészére gyakorolt kumulatív hatást.

  • Nem veszi figyelembe a zero-day sebezhetőségeket:

    A CVSS értékeléshez általában szükség van a sebezhetőség részletes ismeretére. Zero-day sebezhetőségek (amelyekről még nincs nyilvános információ vagy javítás) esetében nehéz lehet pontos CVSS pontszámot adni.

A CVSS egy kiváló diagnosztikai eszköz, de nem helyettesítheti a holisztikus kockázatkezelési stratégiát, amely figyelembe veszi a szervezet egyedi üzleti kontextusát.

Ezeket a korlátokat ismerve a szervezeteknek a CVSS-t egy szélesebb körű kockázatkezelési keretrendszer részeként kell alkalmazniuk, kiegészítve azt más információkkal és értékelésekkel.

A CVSS a gyakorlatban: Alkalmazási területek és tippek

A CVSS számos területen nyújt felbecsülhetetlen segítséget a kiberbiztonsági szakembereknek és a szervezeteknek. Az alábbiakban bemutatjuk a legfontosabb alkalmazási területeket és néhány tippet a hatékony használathoz.

Sebezhetőség-kezelési programok (Vulnerability Management)

Ez a CVSS leggyakoribb és legfontosabb alkalmazási területe. A szervezetek naponta szembesülnek új sebezhetőségekkel, amelyeket gyakran a Common Vulnerabilities and Exposures (CVE) azonosítók segítségével tartanak nyilván. Az NVD (National Vulnerability Database) minden egyes CVE-hez publikál egy Base CVSS pontszámot, ami alapul szolgál a kezdeti priorizáláshoz.

  • Priorizálás: A CVSS pontszám alapján a biztonsági csapatok gyorsan azonosíthatják a legkritikusabb sebezhetőségeket, és a javítási feladatokat a legmagasabb pontszámúaknak adják meg először. Ez segít elkerülni a „minden sürgős” szindrómát.
  • Javítási ütemterv: A pontszámok segítik a javítási ütemtervek és SLA-k (Service Level Agreement) meghatározását. Például, a „Critical” sebezhetőségeket 24 órán belül, a „High” sebezhetőségeket 72 órán belül javítani kell.
  • Trendelemzés: A CVSS pontszámok segítségével a szervezetek nyomon követhetik a sebezhetőségi profiljuk változását az idő múlásával, és azonosíthatják azokat a területeket, ahol folyamatosan magas kockázattal szembesülnek.

Incidensreagálás (Incident Response)

Incidens esetén a CVSS segíthet az érintett rendszerekben található sebezhetőségek gyors értékelésében, és a lehetséges támadási vektorok azonosításában. Ha egy támadás során egy ismert sebezhetőséget használtak ki, a CVSS pontszám segíthet megérteni a támadás súlyosságát és a további kockázatokat.

Kockázatelemzés és -kezelés (Risk Analysis and Management)

A CVSS egy fontos bemeneti adat a holisztikus kockázatelemzéshez. Bár önmagában nem teljes kockázati értékelés, a sebezhetőség súlyosságának számszerűsítése alapvető eleme a kockázati mátrixok és a kockázati regiszterek létrehozásának.

  • Kockázati mátrixok: A CVSS pontszám a „valószínűség” vagy „hatás” dimenzió egyik bemeneteként használható a kockázati mátrixokban.
  • Védelmi stratégiák kidolgozása: Az Environmental metrikák alkalmazásával a szervezetek jobban megérthetik, hogyan illeszkedik egy sebezhetőség a saját védelmi stratégiájukba, és mely területeken van szükség további enyhítő intézkedésekre.

Compliance és Audit

Számos szabályozási keretrendszer és iparági szabvány (pl. PCI DSS, HIPAA, ISO 27001) megköveteli a sebezhetőségek rendszeres felmérését és kezelését. A CVSS szabványosított mérése segíti a compliance megfelelés demonstrálását és az auditok során a biztonsági állapot bemutatását.

Integráció más biztonsági eszközökkel

A CVSS-t széles körben integrálják más biztonsági eszközökkel és platformokkal, mint például:

  • Sebezhetőség-szkennerek: Sok szkenner a talált sebezhetőségekhez CVSS pontszámot is generál.
  • SIEM (Security Information and Event Management) rendszerek: A SIEM rendszerek képesek a CVSS pontszámok alapján riasztásokat priorizálni.
  • SOAR (Security Orchestration, Automation and Response) platformok: A SOAR megoldások automatizált válaszlépéseket indíthatnak a CVSS pontszámok alapján.
  • Threat Intelligence platformok: A fenyegetés-felderítési platformok gyakran tartalmaznak CVSS információkat a sebezhetőségekről.

Tippek a CVSS hatékony alkalmazásához:

  1. Ne csak a Base Score-ra támaszkodjunk:

    Bár a Base Score jó kiindulópont, ne feledjük, hogy ez csak a sebezhetőség inherens tulajdonságait írja le. Mindig vegyük figyelembe a Temporal és különösen az Environmental metrikákat a saját kontextusunkban. A „Critical” Base Score nem feltétlenül jelent „Critical” kockázatot minden környezetben.

  2. Személyre szabott Environmental metrikák:

    Szánjunk időt arra, hogy meghatározzuk a szervezetünk egyedi bizalmassági, integritási és rendelkezésre állási követelményeit (CR, IR, AR), valamint a módosított Base metrikákat (MAV, MAC stb.). Ez a legfontosabb lépés a valós kockázatértékelés felé.

  3. Rendszeres felülvizsgálat:

    A Temporal metrikák változhatnak, ahogy új exploit kódok válnak elérhetővé, vagy javítások jelennek meg. Rendszeresen ellenőrizzük és frissítsük a CVSS értékeléseket, különösen a magas kockázatú sebezhetőségek esetében.

  4. Kombinálás más kockázati tényezőkkel:

    A CVSS egy eszköz, nem a teljes megoldás. Kombináljuk más kockázati tényezőkkel, mint például az érintett eszköz üzleti értéke, a fenyegetés valószínűsége (Threat Intelligence adatok alapján), vagy a meglévő kontrollok hatékonysága.

  5. Dokumentáció és képzés:

    Dokumentáljuk a CVSS értékelés folyamatát és a használt metrikus értékeket. Biztosítsunk képzést a biztonsági csapatnak a CVSS helyes alkalmazásáról és értelmezéséről.

A CVSS rendkívül erőteljes eszköz a sebezhetőségek súlyosságának szabványosított és objektív értékelésében. A rendszer megfelelő megértésével és alkalmazásával a szervezetek jelentősen javíthatják kiberbiztonsági helyzetüket, hatékonyabban priorizálhatják a javítási feladatokat, és minimalizálhatják a támadásokból eredő kockázatokat.

TAGGED:
Share This Article
Leave a comment

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük