CVSS: entenda o que é e como é calculado

O Common Vulnerability Scoring System (CVSS) é uma maneira de atribuir classificações de gravidade às vulnerabilidades da sua empresa, variando de zero (menos grave) a 10 (mais grave). O CVSS é valioso por três razões principais:

Ele fornece uma pontuação de vulnerabilidade padronizada em todo o setor, ajudando as informações críticas a fluir com mais eficiência entre as seções dentro de uma organização e entre organizações;
A fórmula para determinar a pontuação é pública e distribuída gratuitamente, assim, proporcionando transparência;
Ajuda a priorizar o risco — as classificações CVSS fornecem uma pontuação geral e métricas mais específicas.

Por esses motivos, é útil para todos na empresa entenderem como as pontuações do CVSS são calculadas. Mas também é importante reconhecer as limitações do sistema e saber quando confiar nele e quando obter mais informações de fontes de inteligência de ameaças.

Continue lendo e entenda como o CVSS pode ser útil para sua segurança! Se você estiver sem tempo para ler, basta clicar no play.

Como funciona o cálculo do CVSS?

O sistema de pontuação CVSS agora está em sua terceira iteração, CVSS v3.

Uma pontuação no CVSS v3 possui três valores para classificar uma vulnerabilidade:

base, que fornece uma ideia de quão fácil é explorar a vulnerabilidade e quanto dano uma exploração direcionada a essa vulnerabilidade poderia causar;
temporal, que classifica o grau de consciência das pessoas sobre a vulnerabilidade, quais medidas corretivas estão sendo adotadas e se os atores das ameaças estão mirando nela; e
ambiental, que fornece uma métrica mais personalizada específica para uma organização ou ambiente de trabalho.

Cada uma dessas três pontuações é derivada de fórmulas que incluem diferentes subconjuntos de métricas. Vamos olhar cada uma mais de perto.

Pontuação base

Esse número representa uma classificação de algumas das qualidades inerentes a uma vulnerabilidade, que não mudam ao longo do tempo ou dependem do ambiente em que a vulnerabilidade aparece. A pontuação base vem de duas sub-equações, cada uma composta de várias métricas: o subtotal de exploração e o subtotal de impacto.

A pontuação de exploração é baseada nas qualidades do próprio componente vulnerável — suas pontuações definem o quão vulnerável o item é. Quanto maior a pontuação combinada, mais fácil é explorar essa vulnerabilidade. Assim, cada métrica aqui é classificada de acordo com valores específicos para si, não de acordo com uma pontuação numérica.

A métrica Vetor de Acesso (VA) descreve como é fácil para um invasor acessar a vulnerabilidade. A pontuação será maior quanto mais remoto um invasor puder acessá-la — uma vulnerabilidade que exige que um invasor esteja fisicamente presente receberá uma pontuação AV mais baixa do que aquela que pode ser acessada por uma rede local.
A métrica Complexidade de Acesso (CA) descreve as situações que não estão sob o controle do invasor e são necessárias para explorar a vulnerabilidade. Uma pontuação baixa significa que não há condições especiais e um invasor pode explorar repetidamente uma vulnerabilidade. Uma pontuação alta significa que um invasor pode precisar, por exemplo, coletar mais informações sobre um alvo específico antes de obter sucesso;
A métrica Privilégios Exigidos (PE) descreve qual nível de privilégios um invasor deve ter antes de poder explorar uma vulnerabilidade — quanto menos privilégios necessários, mais alta a pontuação. Por exemplo, privilégios baixos significa que o ataque pode afetar apenas configurações e arquivos no nível básico do usuário. Já altos privilégios significam que o invasor precisará ter privilégios administrativos ou algo semelhante para explorar significativamente a vulnerabilidade.

Pontuação de impacto

A pontuação de impacto define quão significativamente determinadas propriedades do componente vulnerável serão afetadas se forem exploradas com êxito. A primeira e mais importante medida de impacto é o escopo da vulnerabilidade (S).

A métrica de escopo fornece uma ideia de quanto uma vulnerabilidade explorada pode afetar outros componentes ou recursos além dos privilégios diretamente associados a ela. De certa forma, essa é uma medida do potencial que uma vulnerabilidade tem de comprometer outros sistemas.

Métrica binária

Essa também é uma métrica binária — uma vulnerabilidade explorada pode afetar apenas recursos no mesmo nível de privilégio ou permitir que um invasor ultrapasse os privilégios de autorização do componente vulnerável e causar impacto em outros sistemas. Quando uma mudança de escopo não ocorre, a métrica Impacto reflete os três valores a seguir:

A métrica Confidencialidade (C), de certa forma, é outra medida de quanta autoridade uma vulnerabilidade explorada fornece. Tal exploração pode resultar em nenhuma perda de confidencialidade; um grau baixo, onde é possível algum acesso indireto a informações restritas; ou um alto grau de perda que pode levar a violações ainda mais graves de informações confidenciais, como acesso ao nome de usuário e senha de um administrador;
A métrica Integridade (I) reflete a quantidade de corrupção de dados que uma vulnerabilidade explorada torna possível. A pontuação pode ser nenhuma; baixa, onde alguns dados podem ser modificados, mas não têm consequências significativas; ou alta, quando houver uma perda completa de proteção em todos os dados, ou os dados que podem ser modificados afetariam significativamente a função do componente vulnerável;
A métrica Disponibilidade (D) é uma medida da perda de disponibilidade dos recursos ou serviços do componente afetado. Essa métrica também é classificada como não tendo impacto; baixo impacto, onde há acesso ou interrupção reduzidos; e alto impacto, onde há uma perda completa de acesso ou uma interrupção grave e persistente.

Pontuação CVSS v3

Para resumir, uma pontuação CVSS v3 básica é derivada de uma fórmula que leva em consideração a pontuação da exploração, que é uma medida de quão fácil é para uma vulnerabilidade ser explorada, e a pontuação do impacto, que é uma medida de quão significativamente os componentes vulneráveis serão afetados se a vulnerabilidade for explorada com êxito.

Mas essa pontuação básica é realmente apenas uma medida hipotética. Ela fornece as dimensões de uma tela em branco e informa quanto vai custar, mas não diz o que o artista realmente pintará. Uma pontuação CVSSv3 básica também pode ser modificada por uma pontuação temporal adicional e uma pontuação ambiental. Nem toda vulnerabilidade atribuída a uma pontuação base também terá pontuações temporais e ambientais calculadas.

Pontuação temporal

Essa pontuação, derivada de três métricas, fornece uma ideia melhor de como os atores de ameaças estão realmente explorando uma vulnerabilidade, bem como quais correções estão disponíveis.

A métrica Maturidade de Exploração (E) reflete a probabilidade de uma vulnerabilidade ser realmente explorada, com base em quais códigos ou kits de exploração foram descobertos “na natureza”.

Essa métrica pode receber uma classificação de “indefinido”, ou receber uma das quatro pontuações cada vez mais severas: não comprovada, o que significa que não existe nenhuma exploração conhecida; prova de conceito, significando que existe algum código, mas não é prático usá-lo em um ataque; funcional, o que significa que existe um código de trabalho; ou alta, o que significa que nenhuma exploração é necessária ou o código disponível é consistentemente eficaz e pode ser entregue autonomamente.

A métrica Nível de Correção (NC) mede a facilidade de correção da vulnerabilidade. De certa forma, é o contraponto à métrica Maturidade de Exploração. Também pode ser indefinida ou medida em quatro graus: uma solução corretiva não está disponível; existe uma solução alternativa não oficial; existe uma correção temporária; ou uma correção oficial —uma solução completa oferecida pelo fornecedor — está disponível.
A métrica Segurança do Relatório (SR) define com que segurança se pode dizer que existe uma vulnerabilidade. As vulnerabilidades podem ser identificadas por terceiros. Mas, não reconhecidas pelo fornecedor oficial do componente. Ao mesmo tempo, uma vulnerabilidade pode ser reconhecida, mas sua causa é desconhecida.

Essa métrica pode ser indefinida ou receber uma das três classificações:

desconhecida, o que significa que existem alguns relatórios incertos sobre a vulnerabilidade;
razoável, o que significa que alguns detalhes importantes foram compartilhados e a vulnerabilidade é reproduzível, mas a causa raiz pode permanecer desconhecida;
ou confirmado, onde a causa de uma vulnerabilidade é conhecida e pode ser reproduzida de forma consistente.

Pontuação ambiental

Essa pontuação é derivada de duas outras pontuações: uma pontuação de requisitos de segurança, definida pelos três componentes da pontuação de impacto (confidencialidade, integridade e disponibilidade), medida em um ambiente específico, e uma pontuação básica modificada, que reavalia as métricas que definem a pontuação básica de acordo com o ambiente específico de uma organização.

Dessa forma, a métrica de segurança não está definida ou recebe uma das três pontuações:

baixa, o que significa que a perda de confidencialidade, integridade ou disponibilidade causada pela vulnerabilidade sendo explorada não terá um efeito importante em uma organização ou em seus funcionários ou clientes;
média, onde o efeito será significativo;
ou alta, onde o efeito será catastrófico.

Pontuações básicas

Além disso, as pontuações básicas modificadas são avaliadas da mesma maneira que antes. Mas, as circunstâncias específicas de um ambiente em que a vulnerabilidade pode existir são levadas em consideração.

Finalmente, uma vulnerabilidade recebe uma pontuação básica de CVSS entre 0,0 e 10,0 — uma pontuação de 0,0 representa nenhum risco; 0,1 – 3,9 representa baixo risco; 4,0 – 6,9, médio; 7,0 – 8,9, alto; e 9,0 – 10,0 é uma pontuação de risco crítico.

Sem dúvidas, o CVSS é uma ferramenta essencial para uma gestão de vulnerabilidades eficaz. Quer continuar aprendendo, leia nosso texto sobre o assunto e veja como gerenciar os riscos de segurança na sua empresa!