CVSS (Common Vulnerability Scoring System)
Что такое CVSS (Common Vulnerability Scoring System)?
CVSS (Common Vulnerability Scoring System)Открытый фреймворк, поддерживаемый FIRST, формирующий оценку критичности уязвимости от 0 до 10 на основе характеристик эксплуатации и воздействия.
CVSS оценивает уязвимости через три группы метрик: базовые (внутренние свойства — вектор атаки, сложность, требуемые привилегии, воздействие на КЦД), временные/угрозы (зрелость эксплойта, доступность исправления) и средовые (адаптированные к конкретному развертыванию). Базовая оценка публикуется в большинстве записей CVE как число и как векторная строка. Сегодня доминирует CVSS v3.1, а v4.0 уточняет метрики для IoT и дополнительную критичность. Оценки следует интерпретировать с учётом бизнес-контекста, критичности актива и сигналов EPSS или CISA KEV: высокий CVSS не всегда означает высокий реальный риск, а низкий может быть критичным в конкретной среде.
● Примеры
- 01
CVE-2021-44228 (Log4Shell): CVSS v3.1 Base 10,0 (Критический).
- 02
CVE-2014-0160 (Heartbleed): CVSS v2 Base 5,0 (Средний).
● Частые вопросы
Что такое CVSS (Common Vulnerability Scoring System)?
Открытый фреймворк, поддерживаемый FIRST, формирующий оценку критичности уязвимости от 0 до 10 на основе характеристик эксплуатации и воздействия. Относится к категории Уязвимости в кибербезопасности.
Что означает CVSS (Common Vulnerability Scoring System)?
Открытый фреймворк, поддерживаемый FIRST, формирующий оценку критичности уязвимости от 0 до 10 на основе характеристик эксплуатации и воздействия.
Как защититься от CVSS (Common Vulnerability Scoring System)?
Защита от CVSS (Common Vulnerability Scoring System) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия CVSS (Common Vulnerability Scoring System)?
Распространённые альтернативные названия: Оценка CVSS.