image

O gerenciamento de vulnerabilidades é fundamental dado o grande e crescente número de ataques cibernéticos que exploram vulnerabilidades presentes em um software. Julgar mal a gravidade de uma vulnerabilidade existente pode levar a uma série de ramificações não intencionais. As repercussões para uma empresa incluem batalhas legais, perdas financeiras e danos à reputação. É essencial ter um programa de gerenciamento de vulnerabilidades em vigor para combater os desafios modernos de segurança cibernética de hoje. Vulnerabilidades em um software só podem ser corrigidas com medidas de segurança adequadas se sua gravidade e impacto forem efetivamente identificados.

CVSS é uma metodologia padronizada utilizada para determinar a gravidade das vulnerabilidades. As vulnerabilidades recebem pontuações específicas que ajudam a priorizar os esforços de remediação. Este artigo irá levá-lo através dos detalhes importantes relativos ao CVSS, como suas versões, diferentes grupos métricos, cálculo de pontuação entre outros.

CVSS

CVSS significa Sistema comum de pontuação de vulnerabilidade. É uma estrutura aberta que ajuda a entender as características e a gravidade das vulnerabilidades do software. Quando os fornecedores usam seus próprios métodos de pontuação, os esforços de remediação tornam-se difíceis. O CVSS permite que a organização use a mesma estrutura de pontuação para avaliar a gravidade das vulnerabilidades de TI em uma variedade de produtos de software. As pontuações do CVSS ajudam as equipes de segurança a priorizar as vulnerabilidades que precisam de atenção imediata.

O CVSS foi introduzido pela primeira vez em 2005 pela NIAC. Agora é propriedade e gerenciada pelo Fórum Internacional de Equipes de Resposta a Incidentes e Segurança (FIRST). O Grupo de Interesse Especial do Sistema de Pontuação de Vulnerabilidade Comum, apoiado pela FIRST, foi responsável pelo desenho inicial da estrutura cvss, bem como pelo teste e refino de fórmulas utilizadas nas novas versões cvss. O CVSS SIG é composto por representantes de uma ampla gama de setores da indústria.

Versões CVSS

O CVSS passou por revisões importantes e menores desde a sua criação. Há um total de três versões cvss que foram lançadas até a data. Vamos dar uma olhada em cada uma dessas versões.

CVSS v1

O CVSS v1 foi lançado pelo Conselho Consultivo Nacional de Infraestrutura dos EUA (NIAP) em 2005. O objetivo era criar um padrão para classificações de gravidade de vulnerabilidades em software.

CVSS v2

O CVSS v1 teve várias deficiências que levaram ao desenvolvimento do CVSS v2. Lançado em 2007, o CVSS versão 2 foi uma melhoria significativa em relação à primeira versão. Ajudou a reduzir as inconsistências e forneceu granularidade adicional, além de refletir as verdadeiras propriedades das vulnerabilidades de TI, apesar dos vários tipos de vulnerabilidade.

CVSS v3

A versão 2 também tinha algumas limitações que levaram a revisões que resultaram no lançamento do CVSS v3 em 2015. O CVSS v3 é uma versão mais refinada, pois aborda preocupações como os privilégios necessários para explorar uma vulnerabilidade e as oportunidades que o hacker pode aproveitar quando a vulnerabilidade é explorada. A versão 3 do CVSS foi novamente revisada e lançada como CVSS v3.1 em junho de 2019.

Grupos de métricas CVSS

Uma pontuação CVSS é composta por três conjuntos de métricas, como base, temporal e ambiental. As seções a seguir lançam luz sobre cada uma dessas métricas em detalhes.

Métricas base

O grupo métrico base representa as características da vulnerabilidade. Essas características permanecem as mesmas em todos os ambientes de usuários. O grupo métrico base consiste em três elementos subcoros, ou seja, explorabilidade, escopo e impacto.

1. Métricas de explorabilidade

As métricas de explorabilidade lidam com a facilidade e os meios técnicos necessários para explorar uma vulnerabilidade. A explorabilidade consiste em mais quatro subcomponidores que são vetor de ataque, complexidade de ataque, privilégios necessários e interação do usuário.

  • Vetor de ataque: O vetor de ataque representa o nível de acesso necessário para explorar uma vulnerabilidade. Uma vulnerabilidade que pode ser explorada remotamente será atribuída a pontuações mais altas, enquanto escores mais baixos estão associados a vulnerabilidades que exigem que a presença física seja explorada.
  • Complexidade do ataque: A pontuação aqui depende de fatores fora do controle do invasor para explorar com sucesso uma vulnerabilidade. Vulnerabilidades que requerem esforços extras de um invasor para explorar terão pontuações mais altas em comparação com ataques que não requerem nenhum trabalho adicional.
  • Privilégios necessários: Essa pontuação depende do nível de privilégios exigido por um invasor para explorar. A pontuação será maior se o invasor precisar de privilégios administrativos para explorar uma vulnerabilidade em comparação com explorações que não requerem autenticação.
  • Interação do usuário: Trata-se de saber se o invasor precisará da ajuda de outro usuário para explorar a vulnerabilidade. Se o invasor puder completar a tarefa sem assistência externa, a pontuação atribuída será maior.

2. Âmbito

Escopo refere-se à possibilidade de uma vulnerabilidade em um componente que impacta os outros componentes no sistema. A pontuação de escopo é maior se a exploração bem-sucedida de uma vulnerabilidade permitir que o invasor tenha acesso a outras áreas do sistema.

3. Impacto

O impacto nas métricas básicas refere-se às consequências de um ataque. As três submétricas das métricas de impacto incluem confidencialidade, integridade e disponibilidade.

  • A pontuação de confidencialidade varia dependendo da quantidade de dados que podem ser acessados pelo invasor após a exploração.
  • A integridade refere-se à medida em que um invasor pode manipular os dados no sistema impactado.
  • Os escores de disponibilidade dependem da disponibilidade do sistema para usuários autorizados após o ataque. A pontuação será alta se o sistema não estiver acessível para usuários após o ataque.

Métricas Temporais

As métricas temporais refletem as características de uma vulnerabilidade que muda ao longo do tempo. Mas não leva em conta os diferentes ambientes de usuário. A explorabilidade atual, bem como a disponibilidade de fatores de correção são as principais considerações aqui. As métricas temporais têm subcompontos chamados De maturidade de código de exploração, nível de remediação e confiança do relatório.

  • Explorar a maturidade do código: Uma vulnerabilidade é potencialmente inofensiva até que um método para explorá-la entre em vigor. Mas uma vez que um código de exploração amadurece e se torna amplamente disponível, o risco aumenta levando a pontuações mais altas.
  • Nível de remediação: A pontuação diminui conforme e quando a remediação apropriada fica disponível para corrigir uma vulnerabilidade.
  • Confiança do relatório: Isso mede o grau de confiança na existência de uma vulnerabilidade real que seja explorável.

Métricas Ambientais

As métricas ambientais representam as características de uma vulnerabilidade, levando em conta o ambiente do usuário. Essas métricas permitem que a organização personalize a pontuação cvss base, dependendo dos requisitos de segurança e modificação das métricas básicas.

  • Requisitos de segurança: A importância do ativo de TI em termos de confidencialidade, integridade e disponibilidade é levada em consideração. Por exemplo, vulnerabilidades em ativos críticos, como dados do cliente, são atribuídas pontuações mais altas em comparação com aquelas na estação de trabalho de um usuário não privilegiado.
  • Métricas básicas modificadas: As métricas base do CVSS podem ser modificadas com base nos esforços de mitigação empregados por uma organização. Com técnicas de gerenciamento de vulnerabilidades, como a remoção de conexões externas de rede ou quaisquer outras medidas que bloqueiem tentativas de hacking, o score métrico da base vetorial de ataque pode ser reduzido.

Pontuação CVSS

Uma pontuação cvss pode ser qualquer coisa entre 0.0 e 10.0. A pontuação base é derivada da pontuação de explorabilidade e pontuação de impacto. O escore base é obrigatório, enquanto os escores temporais e ambientais são opcionais. Mas a pontuação base pode ser modificada marcando as métricas temporais e ambientais. Isso ajuda a obter uma compreensão mais profunda da gravidade da vulnerabilidade em um determinado ambiente em um determinado momento.

Recomenda-se considerar as métricas temporais e ambientais, pois ajudam a chegar a pontuações mais precisas. As métricas básicas e temporais são fornecidas pelos analistas ou fornecedores na maioria dos casos, pois possuem as informações mais precisas relativas às características de uma vulnerabilidade. A pontuação ambiental é calculada pelas organizações de usuários finais, pois elas sabem melhor sobre o impacto de uma vulnerabilidade em seu ambiente de computação.

A pontuação dessas métricas baseia-se na suposição de que o hacker detectou as vulnerabilidades. Não há necessidade de levar em conta as técnicas usadas pelos invasores para localizar as vulnerabilidades. Para obter informações detalhadas sobre como as pontuações são atribuídas sob métricas de exploração, impacto e escopo, clique aqui.

Calculadora de pontuação CVSS

A calculadora de pontuação CVSS permite que os desenvolvedores de aplicativos calculem facilmente as pontuações de vulnerabilidade. A calculadora CVSS baseia-se na fórmula especificada na norma CVSS v3. Você tem que inserir valores métricos corretos para uma determinada vulnerabilidade para obter pontuações precisas. É necessário inserir valores para todas as métricas base. Se faltar um ou mais métricas base, nenhum resultado será exibido.

Um lembrete será mostrado pedindo que você preencha todos os valores.

À medida que você preenche todos os valores, você terá sua pontuação cvss juntamente com uma sequência vetorial exibida abaixo. Uma sequência vetorial é uma representação textual dos valores métricos. Depois de selecionar todas as métricas base, você pode ver a sequência vetorial adicionada à URL. À medida que você faz alterações nas métricas base, a sequência vetorial também será atualizada. A sequência vetorial permite copiar a URL para restaurar as métricas e pontuações no futuro.

Clique aqui se você quiser entender como funciona essa calculadora e obter o escore de vulnerabilidade na calculadora CVSS.

Classificações CVSS

Para entender melhor as implicações dos escores cvss, o NVD forneceu classificações qualitativas de gravidade e categorizou essas pontuações em métricas base baixas, médias e altas para métricas base CVSS v2.0. No caso do CVSS v3.0, as classificações de gravidade podem ser categorizadas em nenhuma, baixa, média, alta e crítica.

Aqui está um vislumbre da faixa de pontuação base e suas classificações de gravidade correspondentes para CVSS v2.0 e CVSS v3.0.

Classificações CVSS v2.0

Severidade Faixa de pontuação base
Baixo 0.0 – 3.9
Média 4.0 – 6.9
Alto 7.0 – 10.0

Classificações CVSS v3.0

Severidade Faixa de pontuação base
Nenhum 0.0
Baixo 0.1 – 3.9
Média 4.0 – 6.9
Alto 7.0 – 8.9
Crítico 9.0 – 10.0

Limitações do CVSS

Embora as pontuações do CVSS ajudem a determinar a gravidade de uma vulnerabilidade, existem várias deficiências no CVSS como uma ferramenta de gerenciamento de riscos. Uma das desvantagens mais significativas é que apenas pontuações e classificações básicas estão disponíveis publicamente e não são suficientes para medir o impacto de uma vulnerabilidade em um determinado ambiente. Os escores do CVSS não refletem o impacto potencial ou a probabilidade de exploração.

Embora uma pontuação alta do CVSS possa levá-lo a acreditar que a vulnerabilidade representa um grande risco, não é verdade em todos os casos. As pontuações do CVSS não levam em conta o contexto e o tempo, deixando de abordar as realidades enfrentadas pela sua organização. Uma vulnerabilidade específica com uma pontuação alta pode ser inexplorada dentro de sua organização. Ao mesmo tempo, um com uma pontuação baixa pode ser explorado facilmente causando impactos devastadores.

O contexto é importante e você precisa proteger todos os ativos que são críticos para sua organização sem depender apenas das pontuações. Os atacantes exploram vulnerabilidades com base nos objetivos que pretendem alcançar. Explorar uma vulnerabilidade de pontuação baixa pode ser mais lucrativo para os hackers e você deixará os dados críticos expostos se toda a sua atenção estiver focada em corrigir apenas vulnerabilidades de pontuação alta.

As equipes de segurança devem priorizar as vulnerabilidades considerando o contexto mais amplo. O objetivo final não deve ser canalizar todos os seus recursos na correção de vulnerabilidades com a maior pontuação do CVSS, mas corrigir todas as vulnerabilidades que provavelmente serão exploradas por invasores no mundo real.

Pensamentos Finais

O CVSS é uma ferramenta crítica para identificar e detectar a gravidade das vulnerabilidades. O CVSS evoluiu como uma ferramenta útil que fornece um vocabulário comum para fornecedores e empresas transmitirem a gravidade das vulnerabilidades. Embora possa não abordar todas as complexidades e desafios do mundo real, é um bom ponto de partida para fortalecer a segurança.

Os hackers estão utilizando técnicas avançadas para passar por barreiras de segurança e extrair informações confidenciais. Um relatório recente revelou que cerca de 50% das vulnerabilidades internas de aplicativos estão sob categorias de risco alto ou crítico. Como as pontuações cvss amplamente publicadas são compostas apenas de métricas básicas, é importante considerar fatores temporais e ambientais também para garantir a segurança total.

Apesar de suas limitações, a pontuação do CVSS é um dos componentes importantes de um programa de gestão de vulnerabilidades. Analisar a pontuação do CVSS, juntamente com a implementação de medidas robustas de segurança que ajudem a se concentrar em riscos mais críticos para o seu negócio, melhorará seus esforços de remediação.

A AppSealing é uma robusta provedora de soluções de segurança de aplicativos móveis com especialização em proteção de aplicativos iOS, Android e Híbridos contra acesso não autorizado. Com soluções de segurança de codificação zero baseadas em nuvem, ele protege aplicativos em tempo de execução para impedir ataques e proteger sua imagem e reputação da marca. Entre em contato com nossa equipe hoje para monitorar ameaças em tempo real e tomar decisões baseadas em dados. Garanta a proteção completa de fintech, jogos, filmes ou quaisquer outras aplicações sem impacto no desempenho e ganhe uma vantagem competitiva.

Autor: Govindraj Basatwar

Artigo Original