Sistema de pontuação de vulnerabilidades comuns (CVSS)

Profissionais de segurança geralmente ficam de olho em notícias sobre Vulnerabilidades e Exposições Comuns (CVEs) para permanecerem cientes de ciberameaças emergentes. No entanto, nos últimos anos, vimos mais de 25.000 CVEs relatadas a cada ano. Depois que uma equipe de DevSecOps determina que uma CVE é relevante para seu ambiente de computação, como eles podem determinar o nível de risco representado por essa vulnerabilidade? É aí que o Sistema de Pontuação de Vulnerabilidades Comuns (CVSS) entra em ação. O CVSS é uma maneira padronizada de calcular a gravidade da vulnerabilidade de segurança. Ao trabalhar de acordo com esse padrão, os profissionais de segurança podem comparar a vulnerabilidade para priorizar suas respostas a possíveis ameaças, garantindo que as vulnerabilidades de maior gravidade sejam abordadas primeiro. Nesta publicação, vamos detalhar o que é o CVSS — de onde ele vem, como interpretar suas pontuações e como ele se encaixa na sua estratégia de cibersegurança. Vamos direto ao assunto.

O que é o CVSS?

O CVSS é um framework usado globalmente para avaliar e comunicar a gravidade da vulnerabilidade de segurança. Essa padronização é valiosa porque permite uma classificação comum de vulnerabilidades entre diferentes sistemas e organizações. O CVSS é de propriedade e administrado pelo Fórum de Equipes de Segurança e Resposta a Incidentes (FIRST). A primeira versão do CVSS começou como um projeto do National Infrastructure Advisory Council (NIAC) em 2005. O CVSS v3.1 está em uso desde 2019, e o CVSS v4 foi lançado oficialmente em novembro de 2023. Antes de nos aprofundarmos no CVSS, vamos abordar alguns termos-chave que frequentemente aparecem em discussões sobre esse sistema:

• Sistema de pontuação de vulnerabilidades comuns: um framework padronizado para classificar a gravidade da vulnerabilidade de segurança.
• Banco de dados de vulnerabilidades e exposições comuns: este é um banco de dados de vulnerabilidades de segurança conhecidas, gerenciado pela MITRE Corporation. Cada vulnerabilidade listada no banco de dados CVE recebe um identificador exclusivo, facilitando o compartilhamento de informações sobre vulnerabilidades específicas.
• Banco de dados nacional de vulnerabilidade (NVD): este banco de dados do governo dos EUA inclui todas as vulnerabilidades listadas no banco de dados CVE. Essas vulnerabilidades são reforçadas com informações adicionais, incluindo pontuação de gravidade CVSS.

Esses termos estão inter-relacionados no processo de identificação e gerenciamento de riscos de cibersegurança: o CVSS fornece o framework de pontuação, o banco de dados CVE oferece uma lista padronizada de vulnerabilidades conhecidas e o NVD enriquece essas informações com análises e contextos adicionais. Juntos, eles formam uma abordagem abrangente para entender e lidar com a vulnerabilidade da cibersegurança.

Compreendendo grupos métricos no CVSS

O framework do CVSS consiste em três grupos métricos distintos: base, temporal e ambiental. Grupos métricos ajudam a categorizar diferentes aspectos de uma vulnerabilidade para maior clareza na avaliação da gravidade. Cada grupo métrico desempenha um papel único na determinação da pontuação geral de gravidade de uma vulnerabilidade. O grupo métrico base avalia as “qualidades intrínsecas de uma vulnerabilidade que são constantes ao longo do tempo e nos ambientes do usuário”. Eles concentram-se em aspectos como:

• Como a vulnerabilidade é explorada
• A complexidade da exploit
• O nível de acesso necessário para explorar a vulnerabilidade
• O impacto da vulnerabilidade na confidencialidade, integridade e disponibilidade

Essa pontuação base não muda com o tempo. Ela funciona como um snapshot da gravidade da vulnerabilidade desde o início. O NVD inclui a pontuação base para cada CVE listada. As métricas de grupo temporal focam no que muda com a vulnerabilidade ao longo do tempo. Considera questões como:

• Alguém criou uma solução para isso?
• Existe alguma nova ferramenta disponível que torne essa vulnerabilidade mais fácil de ser explorada por invasores mal-intencionados?

À medida que novas informações chegam e as condições mudam, a métrica temporal pode aumentar ou diminuir. O grupo métrico ambiental concentra-se nas características específicas do ambiente de um usuário que podem afetar o impacto da vulnerabilidade. Eles consideram fatores como possível perda para uma organização ou a prevalência de um sistema vulnerável no ambiente do usuário. Por exemplo, talvez seus sistemas estejam configurados de uma forma que torne a vulnerabilidade mais séria ou você tenha segurança adicional que reduza o risco de uma exploit. Essa pontuação é adaptada às suas circunstâncias específicas e pode variar muito entre diferentes ambientes. Entender esses grupos métricos é essencial para avaliar com precisão a gravidade da vulnerabilidade de um determinado ambiente. Cada grupo contribui para a pontuação final, que orienta uma organização na priorização de sua resposta a diferentes ameaças.

Compreendendo a escala de pontuação no CVSS

A escala de pontuação do CVSS varia de 0 a 10, indicando a gravidade de uma vulnerabilidade. Uma pontuação mais alta indica uma vulnerabilidade mais grave que exige atenção imediata, e uma pontuação mais baixa sugere um problema menos crítico. Vamos analisar o que essa escala de pontuação representa e como ela é aplicada em cenários do mundo real.

• Gravidade baixa (0 a 3,9): representa um risco mínimo, que geralmente depende de condições específicas.. Um exemplo de vulnerabilidade com pontuação 2,0 pode ser uma falha de divulgação de informações de baixo impacto que requer privilégios de alto nível a exploit.
• Gravidade média (4,0 a 6,9): Riscos mais comuns que podem ser mais suscetíveis a exploit, mas que não costumam gerar consequências. Por exemplo, uma pontuação de 5,5 pode ser dada a um problema de cross-site scripting que poderia ser explorado mais facilmente, mas não compromete um sistema inteiro.
• Gravidade alta (7,0 a 8,9): uma ameaça significativa, que geralmente permite o acesso não autorizado ou o controle sobre os sistemas afetados.
• Gravidade crítica (9,0 a 10): o tipo de vulnerabilidade mais perigoso, que geralmente permite uma exploração generalizada com consequências graves, como perda de dados, tempo de inatividade do sistema ou tomada completa do sistema. Por exemplo, uma exploit generalizada de ransomware pode ter uma pontuação de 9,5.

Ao saber o que cada intervalo de pontuação representa e ver exemplos de como eles se aplicam à vulnerabilidade real, os profissionais podem tomar decisões mais informadas sobre suas estratégias de cibersegurança. Várias ferramentas estão disponíveis para calcular pontuações CVSS com base no framework, como a Calculadora NVD ou a Calculadora CVSS da FIRST. Algumas empresas de cibersegurança também oferecem ferramentas proprietárias para cálculo de pontuação CVSS. Essas ferramentas geralmente permitem que os usuários insiram detalhes específicos sobre uma vulnerabilidade para avaliar as pontuações temporais e ambientais, que são então combinadas com a pontuação base para gerar uma pontuação CVSS precisa para um usuário específico.

Como usar a pontuação de vulnerabilidade para gerenciar seu risco

Mesmo com os detalhes em uma pontuação CVSSv4, ainda pode haver detalhes ambientais sobre seus próprios sistemas que fariam com que você considerasse o impacto de forma diferente entre duas vulnerabilidades com pontuação semelhante. Como você pode se preparar para usar essas informações adicionais quando elas estiverem disponíveis? Comece analisando sua estratégia de gerenciamento de vulnerabilidades. Aqui estão algumas dicas para você começar:

• Faça um inventário dos seus ativos e da sua superfície de ataque (os sistemas e aplicações que você está protegendo) para entender melhor o impacto no seu ambiente específico usando os novos dados quando estiverem disponíveis.
• Quer gostemos ou não, em algum momento todos nós temos prioridades conflitantes e precisamos tomar decisões difíceis sobre onde gastar nosso tempo. Para estar preparado para isso, analise o inventário dos seus sistemas e considere quais áreas apresentam mais ou menos risco. Quais ativos são os mais críticos e os menos. Quais ativos têm maior exposição ao ataque e quais são mais protegidos por outros controles compensatórios.
• Aqui na CrowdStrike recomendamos fortemente nosso modelo ExPRT.AI aos nossos clientes como uma maneira melhor de priorizar duas vulnerabilidades “com pontuação igual” uma em relação à outra. Esteja você usando nosso modelo de IA, uma pontuação CVSSv4 ou algum outro mecanismo, elabore um plano para responder à vulnerabilidade. Esse plano deve ter detalhes sobre o nível de risco, possíveis impactos, estratégias comuns de mitigação (como correção, controles compensatórios ou até mesmo desativar sistemas não críticos) e definir um período para revisar esse plano regularmente. O ecossistema de software está em constante alteração, assim como seu ambiente. Estar preparado com um plano forte permitirá que você faça mais progressos em sua luta contra o adversário.

Qual é a diferença entre CVSSv3.1 e CVSSv4?

O CVSSv3.1 tem várias lacunas que precisam ser abordadas para fornecer mais utilidade no sistema de pontuação. Elas foram abordadas na versão 4.0 que agora está entrando em vigor, no entanto, ainda há melhorias a serem feitas na compreensão do risco. A melhoria mais notável é que o CVSSv3.1 não incluiu o impacto de uma vulnerabilidade em sistemas adicionais, mas o CVSSv4 adicionou um conjunto de métricas para impacto em sistemas subsequentes. Além disso, o CVSSv4 também inclui um grupo de novas métricas sem pontuação que podem ajudar a fornecer contexto adicional, conhecido como métrica suplementar, sobre uma vulnerabilidade que ajudará o usuário final a relacionar a pontuação ao seu próprio ambiente.

Sistemas subsequentes

Sistemas subsequentes são quaisquer sistemas que podem ser afetados por uma exploit da vulnerabilidade, embora não sejam o próprio sistema vulnerável. Para ilustrar isso, considere um exemplo: um servidor web está executando um website que permite que os usuários façam login, façam pagamentos e vejam seus dados de conta. Uma vulnerabilidade cross-site scripting (XSS) no site seria considerada uma vulnerabilidade no website/servidor. Um sistema subsequente poderia ser a máquina do usuário e seu navegador web. Embora a vulnerabilidade exista no servidor web, uma exploração bem-sucedida pode permitir que um invasor obtenha acesso a uma grande quantidade de informações no sistema dos usuários ou até mesmo execute comandos nele, sem o conhecimento do usuário. Para este exemplo, o “impacto subsequente no sistema” significaria que o navegador da web do usuário final pode comprometer ainda mais informações privadas ou, pior, transformar sua máquina em um host para futuros ataques na internet. Dada a nova classificação métrica no CVSSv4, a vulnerabilidade neste exemplo deve receber uma pontuação mais alta do que outra vulnerabilidade que não tenha um impacto subsequente no sistema envolvido. Ao considerar o impacto downstream do ponto inicial de exploit, o novo sistema de pontuação tenta refletir uma visão mais realista do possível impacto de uma vulnerabilidade.

Métrica suplementar

Métricas suplementares são métricas sem pontuação que foram adicionadas ao CVSSv4 a partir da versão 3.1. Esses são detalhes adicionais que podem ser informativos e úteis para alguém que está analisando uma vulnerabilidade enquanto tenta entender como o possível impacto se relacionaria com seu próprio ambiente. Embora os dados aqui possam ser úteis com métricas como Automatizável, Esforço de Resposta à Vulnerabilidade e Urgência do Provedor, essas e outras métricas foram incluídas apenas como informação e não afetam a pontuação geral de uma vulnerabilidade. Não pontuar isso é óbvio em alguns casos, como Urgência do Provedor. O que é urgente da perspectiva de um fabricante de software pode não ser visto como urgente por outro. Se os fabricantes pudessem colocar baixa urgência em todos os seus CVEs e obter uma pontuação de saída menor, isso os incentivaria a burlar o sistema. A intenção de ter esses dados disponíveis é ajudar o usuário final a entender melhor quais outros fatores podem ser relevantes para seu ambiente. Portanto, para manter a melhor comparação entre CVEs, essas métricas suplementares não são consideradas na pontuação de saída de um cálculo CVSSv4.

Qual é o benefício do CVSSv4 para você?

O benefício mais óbvio com o CVSSv4 é que a expansão da métrica em relação ao impacto em um ambiente, sistemas subsequentes e informações para ajudar na mitigação ajuda a fornecer detalhes mais granulares na pontuação de qualquer vulnerabilidade específica. Todas essas foram consideradas adições bem-vindas por muitos na comunidade de gerenciamento de vulnerabilidades. A CrowdStrike já havia percebido a necessidade de ter uma pontuação de vulnerabilidade com base no impacto e no risco e, portanto, desenvolveu nossa própria classificação ExPRT.AI. Nossa classificação é focada em prever a probabilidade de uma vulnerabilidade ser explorada, o que inclui uma combinação de fatores, como nossos próprios dados de inteligência adversária, que não dependem de autorrelatos do fabricante (de aplicação vulnerável). Essa medição de exploit é uma área em que o processo CVSS em geral ainda carece de muitos detalhes, mas a métrica suplementar e os critérios adicionais são uma adição bem-vinda para fornecer uniformidade e clareza em áreas que ajudarão o usuário final a entender o risco relativo de vulnerabilidade que ele tem em seu ambiente.

Quando o CVSSv4 será adotado?

Existem algumas fontes de informação confiáveis e independentes do fabricante sobre vulnerabilidade. A maioria na comunidade consulta o Banco de Dados Nacional de Vulnerabilidade (NVD) do NIST como um provedor de informações sobre CVEs. No momento, o NVD não começou a publicar as pontuações do CVSSv4, mas a CrowdStrike planeja incorporar essas informações quando a adoção começar em 2024. Analisar as pontuações do CVSSv3 ou v3.1 para alguns CVEs pode ajudar a fornecer um contexto histórico valioso que alguns usuários desejam ao planejar como lidar com novas vulnerabilidades. Quando a versão 4.0 for mais amplamente adotada, é provável que o NVD continue a publicar as pontuações do CVSSv3.1.

Integrando o CVSS nas suas práticas de cibersegurança

A familiaridade com o CVSS fornece aos profissionais de segurança uma base que pode influenciar significativamente sua estratégia de cibersegurança. Esse conhecimento é essencial para priorizar e lidar efetivamente com a vulnerabilidade de segurança. No entanto, é importante lembrar que uma pontuação CVSS por si só não apresenta uma imagem abrangente da ameaça de uma vulnerabilidade à sua organização. Esses dados importantes precisam ser combinados com inteligência de ameaças e contexto. É por isso que ferramentas como CrowdStrike Falcon® Exposure Management e CrowdStrike Falcon® Spotlight são essenciais. Falcon Spotlight adiciona insights ao seu gerenciamento de vulnerabilidades, fornecendo informações rápidas, precisas e acionáveis para manter seus sistemas seguros sem afetar seu desempenho. O Falcon Exposure Management baseia-se nisso com insights profundos sobre sua exposição a fragilidades e vulnerabilidades, aprimorando sua capacidade de identificar e priorizar riscos com base em dados em tempo real. Ao combinar os dados padronizados do CVSS com as capacidades avançadas da plataforma CrowdStrike Falcon®, você pode criar uma postura de cibersegurança mais resiliente e responsiva. Para saber mais sobre a plataforma Falcon, experimente gratuitamente ou entre em contato com nossa equipe de especialistas hoje mesmo.