Standard analizowania podatności CVSS już prawie od 20 lat pomaga w ocenie wagi luk w systemach informatycznych. W listopadzie 2023 roku ukazała się najnowsza wersja systemu oznaczona jako CVSS 4.0. Czym różni się od wersji 3.1 i w jaki sposób może pomóc firmie w poprawie bezpieczeństwa?
Czym jest i jak działa CVSS?
CVSS (eng.: Common Vulnerability Scoring System) to międzynarodowy system oceny wagi (a nie ryzyka) podatności w system.ach, oprogramowaniu i infrastrukturze informatycznej. Pierwsza wersja standardu (CVSSv1) została uruchomiona w lutym 2005 roku. CVSS jest własnością FIRST.Org – amerykańskiej organizacji non-profit zajmującej się cyberbezpieczeństwem i reagowaniem na incydenty. Organizacja wydaje kolejne aktualizacje systemu i aktywnie zajmuje się jego rozwojem.
CVSS, za pomocą zawartych w nich matryc oceny, pozwala przydzielić konkretną wagę opisującą dotkliwość do danej luki/podatności i w ten sposób stworzyć listę priorytetowych działań w kierunku poprawy bezpieczeństwa (co różni ten system od CVE, który jest po prostu listą publicznie znanych podatności).
Z systemu oceny punktowej CVSS korzystają zarówno specjaliści pracujący nad usuwaniem podatności w firmach, jak i dostawcy usług bezpieczeństwa. Ci pierwsi otrzymują wskazówki dotyczące kierunku rozwoju systemów, a ci drudzy wytyczne odnośnie potrzeb rynkowych. Za pomocą dostępnych matryc można poznać liczbową ocenę podatności w skali 0–10 (gdzie 0 to niska waga podatności, a 10 - to poziom krytyczny).
Korzystanie ze standardu jest dostępne dla wszystkich za darmo. Obliczeń można dokonać za pośrednictwem udostępnionego w oficjalnej witrynie FIRST.org kalkulatora CVSS 4.0. Dostępna jest także platforma szkoleniowa dla osób, które chciałyby wdrożyć system ocen podatności w swojej firmie, ale nigdy wcześniej nie miały styczności ze standardem CVSS.
Zamów kontakt
Z czego składa się CVSS?
CVSS składa się z grup metryk, które pozwalają zmierzyć wagę występujących podatności na trzech różnych poziomach. Dla każdego z nich generowany jest wynik liczbowy, a ogólna ocena podatności zawiera się w ciągu wektorowym CVSSv2.
1. Poziom bazowy – dotyczy ogólnej charakterystyki podatności w oderwaniu od zmiennych czasowych i środowiskowych w obrębie badanej infrastruktury.
2. Poziom czasowy – analizuje wagę podatności, które mogą aktualizować się w czasie.
3. Poziom środowiskowy – ocenia wagę podatności typowych dla konkretnego środowiska, sytuacji, użytkownika lub urządzenia.
Jakie zmiany niesie za sobą wprowadzenie CVSS 4.0?
Najnowsza wersja ujrzała światło dzienne w listopadzie 2023 roku, zastępując wersję 3.1. Już na pierwszy rzut oka najnowszy standard jest znacznie bardziej złożony od poprzedniego. Dodatkowe metryki (takie jak: automatyzacja, odtworzenie, gęstość wartości, wysiłek odpowiedzi na lukę, pilność dostawcy czy interakcja użytkownika) oraz nowa nomenklatura mają sprawić, że ocena wagi podatności będzie bardziej precyzyjna, a specjaliści ds. cyberbezpieczeństwa, zajmujący się procesami zarządzania ryzykiem, będą mogli podejmować trafniejsze decyzje przy dostępie do bardziej szczegółowych informacji..
Pojawiły się nowe kombinacje poziomów oceny, które mają nadać jej odpowiedni kontekst, a przez to większą dokładność:
- poziom bazowy (CVSS-B) to wyjściowa ocena podatności,
- poziom bazowy + zagrożenie (CVSS-BT) – w tym przypadku oceniana jest podatność z uwzględnieniem możliwych zagrożeń cybernetycznych,
- poziom bazowy + środowisko (CVSS-BE) – oceniana jest podatność systemów z uwzględnieniem charakterystyki wykorzystywanego środowiska,
- poziom bazowy + zagrożenie + środowisko (CVSS-BTE) – najbardziej kompleksowy sposób szacowania wagi podatności, uwzględniający zarówno możliwe zagrożenia, jak i warunki środowiskowe.
Uproszczono ponadto metryki zagrożeń, co powinno zwiększyć obiektywność oceny.
Jak CVSS 4.0 wzmocni bezpieczeństwo firmy?
Ocena i zarządzanie podatnościami to bardzo istotna dziedzina cyberbezpieczeństwa. Umiejętność rozpoznawania zagrożeń i identyfikacji luk w zabezpieczeniach pozwala specjalistom stawać do równej walki z hakerami. Jednolite dla całej globalnej branży systemy oceny, takie jak CVSS 4.0, pomagają zachowywać spójność zabezpieczeń i realizować wspólny cel, jakim jest rozwój technologii cyberbezpieczeństwa.
Należy przy tym pamiętać, że tego rodzaju metody pozwalają jedynie rozpoznać najbardziej prawdopodobne zagrożenia i nie dają bardzo precyzyjnych rezultatów. W celu identyfikacji zagrożeń, które mogą dotknąć konkretne przedsiębiorstwo, system, sieć lub aplikację, przeprowadza się ukierunkowane testy penetracyjne które dostarczając wielu cennych informacji.
Netia Testy Podatności to usługa realizowana przez doświadczony zespół Security Operations Center. Specjaliści z Netii mogą przeprowadzić dogłębne skanowanie infrastruktury i systemów Twojej firmy w poszukiwaniu luk bezpieczeństwa i podatności, które mogłyby w przyszłości doprowadzić do kompromitacji zabezpieczeń i np. wycieku danych wrażliwych.
Na wypadek ataków lub problemów z infrastrukturą konieczne jest także posiadanie jasno sprecyzowanej polityki backupowej. Może być realizowana jako usługa zewnętrznego dostawcy – na przykład w ramach pakietu Netia Data Protection. Zasoby Twojej firmy będą wówczas kopiowane tak często i w takim zakresie, jaki zostanie ustalony. W razie konieczności (ataku lub awarii) dane mogą zostać błyskawicznie przywrócone.
Chcesz dowiedzieć się więcej na temat usług Netii? Nasi doradcy chętnie przedstawią Ci rozwiązania dopasowane do potrzeb Twojej organizacji!
Formularz kontaktowy
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Formularz kontaktowy
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Inne formy kontaktu
-
Infolinia dla nowych klientów
(Codziennie 8:00 - 18:00) +48 22 35 81 550 -
Obsługa klienta i wsparcie techniczne
(Dostępne 24/7) 801 801 999
biznes@netia.pl -
Adres korespondencyjny Netia S.A.
skr. pocztowa nr 597
40-950 Katowice S105
Polecane treści:
English