CVSSv3 e o ranking de vulnerabilidades CVSS

Anteriormente em nosso blog falamos sobre uma vulnerabilidade critica do FortOS que afetava a SSL-VPN, e também comentamos sobre o ranking da vulnerabilidade, neste artigo abordaremos um pouco mais sobre e como funciona a classificação das vulnerabilidades no ranking do CVSSv3.

A Importância do CVSS na Avaliação de Vulnerabilidades: Um Guia Abrangente

No cenário cada vez mais complexo da cibersegurança, onde novas ameaças digitais surgem constantemente, é vital contar com ferramentas e metodologias robustas para avaliar e classificar a gravidade das vulnerabilidades. Nesse contexto, o Common Vulnerability Scoring System (CVSS) desempenha um papel essencial. Neste artigo, além de explorar o que é o CVSS, assim como funciona e sua importância na defesa cibernética, examinaremos casos de uso prático e desafios enfrentados ao implementar esse sistema.

O que é o CVSS?

O Common Vulnerability Scoring System é uma estrutura amplamente adotada na indústria de segurança cibernética. Ele fornece uma metodologia padronizada para avaliar e classificar a gravidade das vulnerabilidades de segurança em sistemas de computadores. Assim como atribuir uma pontuação numérica a cada vulnerabilidade, ajuda as organizações a priorizar suas ações de mitigação e resposta.

Como Funciona ?

Utiliza métricas específicas para calcular a pontuação de uma vulnerabilidade. Essas métricas incluem a severidade do impacto, a facilidade de exploração e a complexidade de correção. Cada métrica é ponderada de acordo com sua importância relativa e, em seguida, combinada para gerar uma pontuação geral, que varia de 0.0 a 10.0, representando o risco associado à vulnerabilidade.

Além da pontuação base, o CVSS também oferece métricas adicionais de temporalidade e ambientalidade. A pontuação de temporalidade considera a disponibilidade de patches e a relevância do sistema afetado, enquanto a pontuação de ambientalidade leva em conta fatores específicos do ambiente, como privilégios de usuário e acessibilidade remota.

Por que o CVSS é Importante?

O CVSS é crucial por várias razões:

1. Priorização Eficaz: Com o volume crescente de vulnerabilidades relatadas diariamente, é crucial priorizar quais devem ser tratadas primeiro. O CVSS fornece uma maneira objetiva de classificar e priorizar as vulnerabilidades com base em sua gravidade e impacto potencial, permitindo que as organizações concentrem seus recursos nas áreas de maior risco.
   
   
2. Decisões Embasadas em Dados: As pontuações permitem que as organizações tomem decisões informadas sobre como alocar recursos de segurança. Isso inclui decidir quais patches aplicar, quais vulnerabilidades monitorar de perto e onde concentrar esforços de mitigação, com base em uma compreensão clara do risco associado a cada vulnerabilidade.
   
   
3. Comunicação Efetiva: O CVSS fornece uma linguagem comum para descrever a gravidade das vulnerabilidades, facilitando a comunicação entre diferentes equipes dentro de uma organização, bem como entre organizações externas, como fornecedores e pesquisadores de segurança. Isso promove uma compreensão clara e consistente do estado da segurança cibernética.
   
   
4. Melhoria Contínua da Segurança: Ao avaliar regularmente as vulnerabilidades com base no CVSS, as organizações podem identificar tendências e padrões que ajudam a informar suas estratégias de segurança a longo prazo. Isso permite uma abordagem proativa para melhorar continuamente a postura de segurança, adaptando-se às novas ameaças e vulnerabilidades à medida que surgem.

O CVSSv3

O CVSSv3 (Common Vulnerability Scoring System version 3) é um sistema padrão usado para atribuir uma pontuação numérica a vulnerabilidades de segurança. Várias métricas avaliam o impacto e a gravidade da vulnerabilidade para calcular essa pontuação. O Score é dividido em três métricas principais:

Métricas Base

Base Metrics: Estas métricas descrevem as características intrínsecas da vulnerabilidade e são usadas para calcular o CVSSv3 Base Score. Elas incluem:

Attack Vector (AV): Descreve como o atacante pode acessar o sistema vulnerável (por exemplo, via rede ou localmente).
Attack Complexity (AC): Avalia a complexidade do ataque necessário para explorar a vulnerabilidade.
Privileges Required (PR): Indica os privilégios necessários para explorar a vulnerabilidade.
User Interaction (UI): Avalia se a interação do usuário é necessária para explorar a vulnerabilidade.
Scope (S): Indica se a vulnerabilidade afeta componentes além daqueles diretamente expostos.
Confidentiality (C), Integrity (I), and Availability Impact (AI): Avaliam o impacto da vulnerabilidade nessas três áreas.

Métricas Temporais

Temporal Metrics: Estas métricas descrevem características que podem mudar com o tempo e podem afetar o impacto da vulnerabilidade. Elas incluem:

Exploit Code Maturity (E): Avalia a maturidade do código de exploração disponível.
Remediation Level (RL): Indica a disponibilidade de uma solução ou mitigação para a vulnerabilidade.
Report Confidence (RC): Reflete a confiança na precisão da pontuação CVSS atribuída.

Environmental Metrics: Estas métricas personalizam a pontuação CVSS para um ambiente específico. Elas incluem:

Confidentiality (CR), Integrity (IR), and Availability Requirements (AR): Indicam os requisitos específicos do ambiente em termos de confidencialidade, integridade e disponibilidade.

O Score é calculado com base nessas métricas e fornece assim uma pontuação numérica entre 0.0 (mínimo impacto) e 10.0 (impacto máximo). Essa pontuação ajuda as organizações a priorizar as correções e mitigações de vulnerabilidades de acordo com sua gravidade e impacto potencial no ambiente de TI.

Conclusão

Quer saber mais sobre esse e outros tipos de conteúdo? Fique de olho no Diário de Suporte. 😉