Dark Mode

Preskocit na obsah

Common Vulnerability Scoring System

Z Wikipedie, otevrene encyklopedie
CVSS logo

Common Vulnerability Scoring System (CVSS) je otevreny standard urceny pro hodnoceni a kvantifikaci zavaznosti softwarovych zranitelnosti. CVSS poskytuje numericke skore, ktere odrazi relativni zavaznost bezpecnostnich chyb, a pomaha tak organizacim prioritizovat sve usili v oblasti kyberneticke bezpecnosti. Tento system umoznuje bezpecnostnim tymum a spravcum systemu lepe ridit rizika spojena s ruznymi zranitelnostmi. CVSS vyuziva skalu od 0 do 10, kde vyssi skore znamena vyssi riziko. Tento system byl zadan Narodnim poradnim vyborem pro infrastrukturu (National Infrastructure Advisory Council, NIAC), a v soucasnosti ho spravuje organizace FIRST (Forum of Incident Response and Security Teams.)[1][2][3]

Historie a vyvoj

[editovat | editovat zdroj]

CVSS byl poprve zaveden v roce 2005 jako verze CVSS v1.[4] Tato verze byla zahy nahrazena vylepsenou verzi v2 v roce 2007, ktera prinesla presnejsi hodnoceni s cilem zvysit konzistenci a pouzitelnost v praxi.[5] V roce 2015 byla uvedena verze 3.0, ktera lepe reflektovala dopady modernich typu utoku a zavadela rozsirenejsi skalu metrik.[6] Tato verze byla pozdeji nahrazena aktualizovanou verzi CVSS v3.1 v roce 2019, ktera se zamerila na zlepseni prehlednosti a interpretace jednotlivych metrik.[7]

Posledni verzi je verze CVSS v4.0, ktera prinesla radu vylepseni vcetne uprav skorovaci metodiky a vetsi flexibility pro ruzne typy zranitelnosti. Cilem je lepe prizpusobit hodnoceni CVSS rychle se menicimu bezpecnostnimu prostredi.[3]

Struktura a vypocty skore

[editovat | editovat zdroj]

CVSS skore se sklada z nekolika zakladnich metrik, ktere jsou rozdeleny do tri skupin: zakladni, docasne a environmentalni.

Zakladni metrika

[editovat | editovat zdroj]

Zakladni metrika meri vnitrni charakteristiky zranitelnosti, ktere jsou stabilni v prubehu casu jako je napr. slozitost utoku, nutnost interakce s uzivatelem nebo pozadovana privilegia.

Docasna metrika

[editovat | editovat zdroj]

Docasna metrika reflektuje faktory, ktere se meni v prubehu casu jako jsou napr. dostupnost oprav nebo reseni problemu.

Environmentalni metrika

[editovat | editovat zdroj]

Environmentalni metrika prizpusobuje zakladni skore specifickym podminkam v ramci konkretniho prostredi, ktere mohou zvysit nebo snizit celkove riziko. Temi jsou napr. pozadavek na duvernot, pozadavek na integritu a pozadavek dostupnosti.

Kazda z techto metrik je peclive definovana a umoznuje konzistentni a objektivni vypocty napric ruznymi systemy a prostredimi. Vypocet skore probiha pomoci vzorcu a prislusnych koeficientu, ktere jsou soucasti oficialnich dokumentaci ke standardu CVSS.[1][3]

Pouziti a vyznam

[editovat | editovat zdroj]

CVSS je dnes siroce vyuzivan v bezpecnostnim prumyslu. Pomaha organizacim rozhodovat o tom, ktere zranitelnosti je nutne resit prednostne a jake prostredky vynalozit na opravu jednotlivych problemu. CVSS skore se casto uvadi u zranitelnosti publikovanych v ramci CVE (zkratka, z anglickeho Common Vulnerabilities and Exposures) databaze, kterou spravuje MITRE Corporation. Tato databaze slouzi jako globalni standard pro oznacovani a popisovani zranitelnosti, coz ve spojeni s CVSS usnadnuje komunikaci o bezpecnostnich hrozbach mezi organizacemi. [1][8]

  1. 1 2 3 Co je Common Vulnerability Scoring System (CVSS) a jak se pouziva k hodnoceni zavaznosti zranitelnosti?. cs.eitca.org [online]. [cit. 2024-11-7]. Dostupne online.
  2. | CVSS v4.0 Frequently Asked Questions. FIRST -- Forum of Incident Response and Security Teams [online]. [cit. 2024-11-07]. Dostupne online. (anglicky)
  3. 1 2 3 CVSS v4.0 Specification Document. FIRST -- Forum of Incident Response and Security Teams [online]. [cit. 2024-11-07]. Dostupne online. (anglicky)
  4. | Introduction to CVSS. FIRST -- Forum of Incident Response and Security Teams [online]. [cit. 2024-11-07]. Dostupne online. (anglicky)
  5. | CVSS v2 History. FIRST -- Forum of Incident Response and Security Teams [online]. [cit. 2024-11-07]. Dostupne online. (anglicky)
  6. | CVSS v3.0 Specification Document. FIRST -- Forum of Incident Response and Security Teams [online]. [cit. 2024-11-07]. Dostupne online. (anglicky)
  7. | CVSS v3.1 Specification Document. FIRST -- Forum of Incident Response and Security Teams [online]. [cit. 2024-11-07]. Dostupne online. (anglicky)
  8. | CVE Website. www.cve.org [online]. [cit. 2024-11-07]. Dostupne online.