Sistemas común de puntuación de vulnerabilidades (CVSS)
El Sistema de puntuación de vulnerabilidad común (CVSS) proporciona una forma de capturar las características principales de una vulnerabilidad y producir una puntuación numérica que refleje su gravedad. La puntuación numérica se puede traducir en una representación cualitativa (como baja, media, alta y crítica) para ayudar a las organizaciones a evaluar y priorizar adecuadamente sus procesos de gestión de vulnerabilidad. El sistema (CVSS) se utiliza para evaluar la gravedad y el riesgo de la seguridad del sistema informático.
(Common Vulnerability Scoring System) 2.0, 3.0 y 3.1. Las puntuaciones y los valores de métrica se devuelven para la versión más alta disponible en los datos de vulnerabilidad.
CVSS es una infraestructura abierta que consta de los siguientes grupos de métricas:
Grupo métrica base
El rango de gravedad de puntuación base es 0-10 y representa las características inherentes de la vulnerabilidad. La puntuación base tiene la mayor relación con la puntuación CVSS final, y se puede dividir en las siguientes subpuntuaciones:
ImpactoLa subpuntuación de impacto representa métricas para el impacto sobre la confidencialidad, el impacto sobre la integridad y el impacto sobre la disponibilidad de una vulnerabilidad explotada correctamente.
ExplotabilidadEn CVSS v2, la subpuntuación de explotabilidad representa métricas para vector de acceso, complejidad de acceso y autenticación. La subpuntuación mide cómo se accede a la vulnerabilidad, la complejidad del ataque y el número de veces que un atacante debe autenticarse para explotar correctamente una vulnerabilidad. En CVSS v3, la subpuntuación de explotabilidad representa métricas para vector de ataque, complejidad de ataque, privilegios necesarios, interacción de usuario y ámbito. La subpuntuación mide cómo se accede a la vulnerabilidad, la complejidad del ataque, los privilegios necesarios, la interacción necesaria entre el atacante y otro usuario y el impacto en los recursos más allá del componente vulnerable.
Grupo métrica temporal
La puntuación temporal representa las características de una amenaza de vulnerabilidad que cambia a lo largo del tiempo y consta de las métricas siguientes:
Explotabilidad (CVSS v2) o madurez de código de explotación (CVSS v3)La disponibilidad de técnicas o código que se pueden utilizar para explotar la vulnerabilidad, que cambia con el tiempo.
El nivel de remediación que está disponible para una vulnerabilidad.
Confianza de informe el nivel de confianza en la existencia de la vulnerabilidad y la credibilidad de sus detalles técnicos.
Grupo métrica entorno
La puntuación de entorno representa las características de la vulnerabilidad que se ven afectadas por el entorno del usuario. Configure las siguientes métricas de entorno para resaltar las vulnerabilidades de activos importantes o críticos aplicando métricas de entorno más altas. Aplique las puntuaciones más altas a los activos más importantes porque las pérdidas asociadas a estos activos tienen mayores consecuencias para la organización.
Potencial de daño colateral (CDP) (solo CVSS v2 )El potencial de pérdida de vidas o activos físicos a través del daño o robo de este activo, o la pérdida económica de productividad o ingresos.
Distribución de destino (TD) (solo CVSS v2 )Proporción de sistemas vulnerables en el entorno del usuario.
Requisito de confidencialidad (CR)El nivel de impacto en la pérdida de confidencialidad cuando se explota una vulnerabilidad en este activo.
Requisito de integridad (IR)Esta métrica indica el nivel de impacto en la pérdida de integridad cuando una vulnerabilidad se explota correctamente en este activo.
Requisito de disponibilidad (AR)El nivel de impacto en la disponibilidad del activo cuando una vulnerabilidad se explota correctamente en este activo.