O que é CVSS e como é calculado? Confira!

English

Portuguese

English

This website uses cookies

We temporarily store data to improve your browsing experience and recommend content of interest to you. By using our services you agree to such monitoring.

15 de fevereiro de 2023

Segurança

O que é CVSS e como é calculado? Confira!

Compreender a capacidade de suporte de ataques e problemas de rede nos sistemas de uma empresa é uma necessidade que não pode ser deixada de lado na era digital. Com o avanço da tecnologia, cada vez mais ataques virtuais e falhas nos sistemas podem comprometer o desempenho, o financeiro e a imagem do negócio.

Para evitar isso, são aplicados cálculos com pontuação referente à vulnerabilidade de um setor, recursos e operações corporativas. Neste artigo, você vai saber o que é o CVSS e como é importante para o seu negócio. Confira!

O que é o CVSS?

Commom Vulnerability Scoring System (CVSS) é um método utilizado para realizar o cálculo de vulnerabilidade de rede ou da tecnologia da sua empresa. Com a aplicação desse método é possível avaliar a vulnerabilidade de um setor por meio de uma pontuação gerada e que varia de zero a 10.

A fórmula é utilizada com transparência e permite que o gestor tenha uma percepção de riscos, organizando por graus de prioridade em relação às correções necessárias. Um dos maiores desafios das empresas é o de manter os seus sistemas em pleno funcionamento, livre de falhas e prejuízos. Aplicar essa estratégia de análise da vulnerabilidade é fundamental para impedir possíveis ataques e minimizar riscos de operações no sistema.

Como é feito o cálculo do CVSS?

Para a realização dos cálculos CVSS são aplicadas fórmulas e a classificação de vulnerabilidade é feita devido a 3 fatores importantes: base, temporal e ambiental. Vamos conferir a seguir como funciona cada uma dessas pontuações.

Pontuação base

Indica a facilidade em atingir um sistema ou tecnologia, explorando o dano causado em caso de ataques virtuais. Essa pontuação é avaliada por métricas de grande relevância, como:

métrica vetor de acesso: mostra a facilidade de acesso de um invasor na rede. Quanto maior for a facilidade e a invasão por meio remoto, maior é a pontuação contabilizada;
métrica complexidade de acesso: indica quais as maiores dificuldades enfrentadas pelo invasor; quanto maior a pontuação nessa métrica, maior a necessidade de coletar mais informações para conseguir acesso na rede;
métrica privilégios exigidos: essa métrica indica o grau de privilégio que o invasor precisa ter para conseguir acesso a um sistema. Quanto maior sua pontuação nesse item, maior será a necessidade de privilégios para concluir sua invasão.

Pontuação de impacto

Essa pontuação indica o quão significativo é a vulnerabilidade por métricas binárias e fornece informações sobre a capacidade de a vulnerabilidade gerar impacto negativo em outros componentes associados ao que está sendo avaliado. As métricas binárias mais utilizadas para avaliação da vulnerabilidade são:

métricas de confidencialidade: essa métrica fornece informações importantes, por exemplo, em caso de invasão de rede, qual é a capacidade de acesso do invasor, se haverá perda de confidencialidade, se há um alto ou baixo grau de perda de informações, etc;
métricas de integridade: essa pontuação indicará o quanto os dados podem ser corrompidos em caso de falhas ou invasões no sistema por meio de uma avaliação de vulnerabilidade explorada;
métricas de disponibilidade: essa pontuação indicará a capacidade de os sistemas ou recursos afetados continuarem disponíveis em suas operações. Ela pode não ter nenhum impacto, pode apresentar baixo impacto quando alguns dos recursos são afetados com interrupções de serviço, ou alto impacto quando todos os recursos são afetados e interrompidos pela vulnerabilidade explorada.

Pontuação CVSS v3

A pontuação CVSS v3 é um sistema de cálculo de vulnerabilidade que está na sua terceira versão. Essa pontuação é calculada por meio da vulnerabilidade explorada e apresenta os riscos e a gravidade que podem ser calculadas por uma pontuação base, temporal e ambiental, conforme já mencionado anteriormente. A seguir vamos apresentar cada uma dessas pontuações.

Pontuação temporal

Essa pontuação demonstra qual vulnerabilidade está sendo explorada e quais as correções disponíveis para impedir a ação invasora. Essa métrica é mensurada pelos seguintes resultados: indefinido, não comprovada, prova de conceito, funcional ou alta.

Nesse sistema é possível medir a facilidade de correção da vulnerabilidade pela métrica de nível de correção. Essa métrica pode apresentar resultados indefinidos ou ser medida como não havendo soluções corretivas, indicando que existe uma solução alternativa, temporária ou uma correção definida.

Além disso, outra métrica utilizada é a de segurança do relatório, que define a precisão com que se pode afirmar que há uma vulnerabilidade no setor ou recursos avaliados.

Pontuação ambiental

Essa pontuação é determinada pelos resultados obtidos na pontuação de impacto. Essas métricas são medidas em relação ao ambiente e avalia a vulnerabilidade desse local específico, considerando se a pontuação é baixa (que define a perda de confiabilidade, integridade e disponibilidade), média (local de impacto significativo) ou alta com resultados desastrosos.

Pontuação básica

Nesse tipo de pontuação, são consideradas as situações específicas do ambiente em que a vulnerabilidade é identificada. As margens de pontuação são:

de 0,0 = nenhum risco;
entre 0,1 e 3,9 = baixo risco;
entre 4,0 e 6,9 = risco médio;
entre 7,0 e 8,9 = risco elevado;
entre 9,0 e 10,0 = situação crítica.

Para realizar esse cálculo é necessário contar com profissionais especialistas e com uma ferramenta de gestão eficaz, capaz de oferecer resultados completos e mensuráveis. E por que esse controle é importante para o seu negócio? A seguir, vamos apresentar os fatores mais relevantes sobre o uso desse sistema de pontuação de vulnerabilidade.

Quais são os benefícios da gestão de vulnerabilidade nas empresas?

Realizar a gestão de vulnerabilidade na sua empresa é um investimento que promove cuidados e controle de riscos, minimizando as possibilidades de ataques virtuais e protegendo todos os dados e sistemas do empreendimento. A gestão de vulnerabilidade previne a empresa por meio de observação mensurável que permite identificar, analisar, classificar e fazer o tratamento das vulnerabilidades constatadas.

As correções são feitas em relação às vulnerabilidades encontradas, reduzindo os impactos da mesma no ambiente com monitoramento e melhores resultados para tomadas de decisões efetivas e inteligentes.

Se você deseja ter um melhor desempenho nos processos de gestão da sua empresa e aprender mais sobre como monitorar a vulnerabilidade do seu negócio, siga nossas redes sociais que compartilhamos muitas novidades em nossos canais. Estamos no Facebook, LinkedIn e Twitter.

Share with your friends