CVSS (CVSS)

Введение

CVSS (Common Vulnerability Scoring System) – открытый стандарт оценки критичности уязвимостей, разработанный организацией FIRST (Forum of Incident Response and Security Teams). Основная цель – дать организациям единый язык для оценки приоритетности устранения уязвимостей. CVSS v3.1 – актуальная версия (2019); CVSS v4.0 опубликован в 2023 году.

История и контекст

CVSS v1 появился в 2005 году как часть инициативы NVD (National Vulnerability Database). CVSS v2 (2007) добавил временные и контекстуальные метрики. CVSS v3 (2015) пересмотрел базовые метрики, добавив «Scope» и улучшив точность оценки. CVSS v3.1 (2019) – минорные уточнения. CVSS v4.0 (2023) ввёл новые метрики безопасности промышленных систем (OT/ICS). В России ФСТЭК ведёт собственную базу уязвимостей БДУ, также использующую CVSS-метрики.

Структура CVSS v3.1

Base Score (базовые метрики) – неизменные характеристики уязвимости:

• Attack Vector (AV) – сеть/смежная сеть/локально/физически.
• Attack Complexity (AC) – низкая/высокая.
• Privileges Required (PR) – нет/низкие/высокие.
• User Interaction (UI) – не требуется/требуется.
• Scope (S) – без изменения/изменяется (влияние за пределами компонента).
• Confidentiality/Integrity/Availability Impact – нет/низкое/высокое.

Диапазоны баллов: None (0.0), Low (0.1–3.9), Medium (4.0–6.9), High (7.0–8.9), Critical (9.0–10.0). Большинство организаций патчат Critical и High в первую очередь.

Temporal Score – учитывает наличие эксплойта и патча. Environmental Score – адаптирует оценку к конкретной организации (значимость актива, существующие меры защиты).

Где применяется

• CVE / NVD – каждой публично известной уязвимости присваивается CVSS-балл.
• Vulnerability Management – приоритизация патчинга по балансу CVSS и контекста.
• Пентест-отчёты – оценка найденных уязвимостей по CVSS для заказчика.
• Страхование киберрисков – оценка «поверхности атаки» организации.
• Bug Bounty – расчёт вознаграждения исходя из критичности уязвимости.

Преимущества и ограничения

Единый язык для всей отрасли, открытый стандарт. Ограничения: базовый CVSS игнорирует контекст организации; уязвимость с CVSS 9.8 в изолированной системе менее критична, чем CVSS 7.0 на публичном сервере. Для приоритизации рекомендуется дополнять EPSS (Exploit Prediction Scoring System) и данными об активной эксплуатации.

Связь с другими понятиями

CVSS – стандартная метрика для каждой записи в базе CVE. Используется при Vulnerability Scan и Patch Management. Pentest включает CVSS-оценки в отчёт. НКЦКИ использует оценки при формировании бюллетеней об угрозах.