…CVSS?
CVSS steht für „Common Vulnerability Scoring System“, also ein allgemeines System zur Einstufung von Gefährdungen. Dieses bezeichnet ein standardisiertes Bewertungssystem zu Einstufung von IT-Sicherheitslücken. Schwachstellen werden anhand verschiedener Kriterien eingestuft, um einen Vergleich und somit auch eine Prioritätseinschätzung zu ermöglichen.
Aufbau und Berechnung:
Die Stufen von CVSS bilden eine Skala von 0-10, wobei ein höherer Wert auch eine größere Gefahr darstellt. Der Wert ergibt sich aus den folgenden drei Metriken:
- Basis-Metrik: Bezieht sich auf die grundlegende Schwere der Schwachstelle, unabhängig von ihrer Umgebung und aktuellen Exploit-Möglichkeiten. Dafür sind u.a. der Angriffsvektor, die Angriffskomplexität und Benutzerinteraktionen relevant.
- Temporal-Metrik: Hier bei wird bewertet, wie sich eine Schwachstelle über die Zeit verändert. Vorhandene Exploits und verfügbare Patches sind hier die relevantesten Kriterien.
- Umgebungs-Metrik: Die anwenderspezifische Bewertung der genutzten IT-Umgebung, also der Systeme und Software. Besonders relevant sind hier die Fragen nach der Kritikalität des betroffenen Systems und den Maßnahmen zum Schutz von Systemen und Daten.
Wo wird CVSS genutzt?
Verschiedenste Organisationen, Hersteller und Sicherheitsforscher nutzen CVSS um Sicherheitslücken zu priorisieren und effektive Gegenmaßnahmen zu ergreifen. Zu den Anwendungsbereichen gehören:
- Vulnerability Management
- Patch Management
- Compliance & Audits