O que é CVSS: entenda o sistema de pontuação de vulnerabilidades

Se você já lidou com vulnerabilidades dentro de um sistema, ou seja, as falhas de algum software que podem comprometer a segurança de suas informações, já deve ter ouvido sobre o que é CVSS, certo?

Para entender os reais riscos que cada falha representa foi criado o Common Vulnerability Scoring System, ou CVSS, um método usado para classificar o risco das vulnerabilidades presentes em algum software através de uma pontuação.

Se você quer entender melhor como o CVSS pode te ajudar a ter um ambiente de TI mais seguro, fique com a gente. Neste artigo, vamos te explicar tudo sobre o que é CVSS, as vantagens de sua aplicação e os critérios para seu cálculo. Confira! 

O que é CVSS?

O CVSS, Common Vulnerability Scoring System, é um padrão utilizado para qualificar e avaliar vulnerabilidades presentes nos sistemas. 

Usando esse modelo de numeração, fica mais fácil avaliar quais prioridades devem ser remediadas de maneira mais simples.

Essa pontuação indica qual a gravidade do risco apontado, podendo variar entre baixa, média e alta

Baseado em uma série de critérios, o método aponta uma numeração de 0 a 10, em que, naturalmente, quanto maior a nota, maior o risco.

A implementação desse tipo de sistema auxilia no planejamento de segurança dos dados e proteção de invasões.

Utilizado por muitas organizações, o sistema CVSS nasceu em 2005, através de iniciativa do National Infrastructure Advisory Council (NIAC), órgão do governo dos Estados Unidos especializado em segurança de informações.

Posteriormente, o gerenciamento e desenvolvimento de seu padrão foram repassados ao Forum of Incident Response and Security Teams o FIRST —, uma organização global de resposta a incidentes relacionados a dados digitais.

Atualmente, o CVSS encontra-se na versão 3.1, que avalia a pontuação nos seguintes grandes grupos, baseados no número gerado e seu respectivo nível de gravidade:

  • Entre 0,0 e 3,9: Baixo;
  • Entre 4,0 e 6,9: Médio;
  • Entre 7,0 e 10,0: Alto.

Essa padronização é importante para um planejamento mais eficiente. Ao usar diferentes métricas para avaliar as vulnerabilidades no ambiente, pode-se criar maior clareza sobre o que merece mais atenção e priorização.

O CVSS faz com que as vulnerabilidades sejam avaliadas pelos mesmos critérios e sejam expostas de forma transparente ao usuário.

Ele entende perfeitamente o que é preciso corrigir no sistema e qual a forma mais eficaz para isso com uma análise adequada das pontuações. Essas análises definem níveis de prioridades e facilitam o processo de correção e dão avaliações para lidar com erros.

Como esse número é calculado?

Para entender de uma vez por todas o que é CVSS, é preciso analisar as métricas utilizadas. Existem diversos critérios que são levados em consideração para chegar a uma nota concreta.

De maneira geral, todos esses critérios são divididos em três categorias que avaliam diferentes características das vulnerabilidades: base, temporal e ambiental, em português. 

Base

Aqui falamos das características essenciais às vulnerabilidades, ou seja, aquelas que não são variáveis a diferentes ambientes e não mudam com o passar do tempo.

Na prática, esse grupo de métricas é o mais importante e sua nota tem um peso maior no momento de montar a pontuação final do CVSS.

Esse grupo pode ainda ser dividido em duas subcategorias, a explorabilidade e o impacto.

Explorabilidade 

Avalia a facilidade de exploração da vulnerabilidade, ou seja, quanto mais disponível e menos trabalhosa ela é para ser invadida, maior seu perigo.

Ao todo, essa categoria envolve três métricas:

  • Vetor de acesso: possibilidade da vulnerabilidade de ser explorada localmente ou através de redes remotas;
  • Complexidade de acesso: dificuldade da exploração em geral;
  • Autenticação: nível de privilégio do invasor.

Impacto

Avalia qual o “estrago” feito caso uma vulnerabilidade seja explorada. Quanto maior o dano ao sistema ligado àquela vulnerabilidade, maior sua nota. A subcategoria abrange os seguintes fatores:

  • Confidencialidade: nível de exposição de dados confidenciais a partir de uma exploração;
  • Integridade: o impacto que tal falha pode representar ao sistema de uma maneira geral;
  • Disponibilidade: acessibilidade de recursos de informações.

Temporal

Esse segundo grupo de métricas avalia as características de uma vulnerabilidade que pode mudar com o tempo.

Por exemplo, alguma falha que não podia ser explorada antigamente por falta dos recursos para tal, mas que em outro momento pode ter seu risco aumentado por conta da implementação de novas tecnologias que facilitam seu acesso.

Esse grupo de métricas vai avaliar o nível de explorabilidade que, nesse caso, corresponde ao estado atual das técnicas de exploração.

Além disso, também são avaliados o nível de correção, a facilidade do mesmo e o grau de confiança nas informações oferecidas em relação à vulnerabilidade em questão. 

Ambiental

Para finalizar, a última métrica: aqui, na categoria ambiental, avaliamos de qual maneira o ambiente específico em que aquela vulnerabilidade se encontra auxilia ou não na sua exploração.

Nesse caso, o nível de prioridade de cada métrica deve ser avaliado internamente, para que os ativos considerados os mais importantes sejam devidamente protegidos.

As seguintes métricas são utilizadas:

  • Potencial Dano Colateral: potencial de furto ou danificação dos dados;
  • Distribuição de Destinos: número de sistemas no ambiente que podem ser usados como destinos;
  • Requisito de Disponibilidade: importância  da disponibilidade das informações;
  • Requisito de Confidencialidade: importância da confidencialidade das informações;
  • Requisito de Integridade: importância da precisão das informações.

É importante ressaltar que a pontuação CVSS pode ser determinada usando apenas as métricas previstas na categoria de Base. Porém, as outras duas categorias vão providenciar uma análise mais completa e precisa do nível de perigo.

Entender o que é CVSS, e calcular suas vulnerabilidades, é importante para deixar o ambiente ainda mais seguro e com maior chance de previsibilidades.

Implementar métodos como esse dentro de um ambiente de TI ajuda e muito na proteção dos seus dados. Assim, o risco de invasões diminui, e o seu ambiente pode operar de maneira eficiente e correta.

Agora que você já sabe o que é CVSS e como ele funciona, aproveite e leia mais sobre scan de vulnerabilidades, outra importante técnica de segurança.


Compartilhe com um amigo!