CVSS - Common Vulnerability Scoring System (Parte 1)

Ao identificar vulnerabilidades em um ambiente, aplicação web, aplicativo mobile, API, etc, algumas questões precisam ser respondidas: 

- como avaliar a severidade de uma vulnerabilidade? 

- como identificar as ameaças que podem explorar a vulnerabilidade descoberta? 

- como priorizar a correção de uma vulnerabilidade? 

O CVSS pode ajudar a responder todas essas questões com embasamento técnico e métricas que apoiam a priorização e entendimento do risco de uma vulnerabilidade.  

O que é CVSS? 

CVSS é um framework open-source que avalia as características e a severidade de uma vulnerabilidade de segurança através de uma pontuação de 0 a 10. Essa pontuação e um conjunto de métricas ajudam oganizações a priorizar ações para corrigir uma falha de segurança. O FIRST - Forum of incident response and security teams é uma organização reconhecida globalmente como líder em resposta a incidentes, e é responsável pela manutenção do CVSS. 

Conceito

As métricas aplicadas no cálculo do CVSS são combinadas de modo a gerar o CVSS Base Score e o Vector String. 

Novo CVSS v4.0

Nova nomenclatura: Base (CVSS-B), Base + Threat (CVSS-BT), Base + Environmental (CVSS-BE), Base + Threat + Environmental (CVSS-BTE). 

Novas métricas: Attack Requirements (AT), User Interaction (UI): Passive (P) e Active (A). 

Métricas para medir o impacto foram aprimoradas:

    - Removida a métrica Scope

    - Avaliação de impacto mais direta: 

            - Sistema vulnerável (VC, VI, VA)

            - Sistema subsequente (SC, SI, SA) 

O grupo de métricas Temporais foi renomeado para métricas de Ameaça, e suas características foram simplificadas em "Maturidade do exploit" (Exploit Maturity). 

O grupo Supplemental foi adicionado, porém não afeta o cálculo do CVSS. 

De acordo com o FIRST, o CVSS v4.0 apresenta um foco adicional em OT/ICS/Safety em métrica como: Segurança avaliada pelo consumidor em tradução direta (MSI:S, MSA:S) e Segurança avaliada pelo fornecedor (Safety (S) em Supplemental). 

CVSS v4.0 Scoring

É um sistema de cálculo qualitativo de vulnerabilidades com base nas métricas de Base (CVSS-B), Ameaça (CVSS-BT) e métricas do ambiente (CVSS-BE). As métricas de base do sistema CVSS são determinadas pelos pesquisadores de segurança, enquanto as métricas de ameaça e ambiente são determinadas pelos analistas de segurança da empresa onde a vulnerabilidade foi identificada. 

De forma mais objetiva, o Base Score são as métricas definidas pelo FIRST e qualificam a vulnerabilidade de modo geral. As métricas de ameaça e ambiente contextualizam a vulnerabilidade em uma empresa específica. 

Base Metrics (CVSS Base Score - CVSS-B) 

São as principais métricas do cálculo CVSS, e refletem a severidade de uma vulnerabilidade de acordo com suas características técnicas, considerando sempre o pior cenário e impacto possível (worst-case impact). No geral é o Base Score que vemos nas publicações de CVE. 

Supplemental Metrics

Grupo de métricas que adiciona um contexto externo para a vulnerabilidade. São medidas fornecidas pelo fornecedor de uma tecnologia, sendo opcionais e não têm impacto na pontuação do CVSS. Geralmente, são usadas em análises de risco internas para avaliar o impacto efetivo dentro de uma organização. 

Threat Metrics (CVSS-BT, CVSS-BTE)

São as características de uma vulnerabilidade relacionadas com as ameaças que podem mudar ao longo do tempo. O fato da vulnerabilidade não ter sido explorada ou não haver provas de conceito ou exploits publicados podem reduzir a pontuação do CVSS Score. No entanto, essa é uma métrica dinâmica e pode mudar a partir do momento em que códigos de exploits são divulgados.

Environmental Metrics (CVSS-BE, CVSS-BTE)

É o grupo de métricas que representam as características de uma vulnerabilidade relevantes e únicas em um ambiente específico da empresa. As considerações feitas ao usar essa métrica incluem a presença de controles de segurança que podem mitigar um ataque, além de considerar a importância do sistema vulnerável para a empresa. 

#HACKINGBR