Sådan kan du forstå en CVSS-score

Nyt nomenklaturunivers gør det nemmere for brugerne og leverandørerne at forstå og udregne scoren.

I forbindelse med udviklingen af CVSS 4.0 er der skabt et nyt nomenklaturunivers i forhold til de elementer, der indgår i beregningen af scoren. Disse elementer fremgår den beregner, som anvendes til at fastsætte en sårbarhedsscore fra 0.1-10.0.

Elementerne er følgende:

  • CVSS-B: CVSS Basisscore – udgør de grundlæggende elementer i udnyttelse af sårbarhed, fx angrebsvektor, angrebskompleksitet, brugerinteraktion mv. Denne score fastsættes normalt af leverandøren af det produkt, der er sårbart. Basisscoren er den, som almindeligvis fremgår af leverandørens advisory i forbindelse med offentliggørelse af sårbarheden.
  • CVSS-BT: CVSS Base + Threat Score – her suppleres basisscoren med modenheden i evt. udnyttelse, dvs. om sårbarheden er under udnyttelse, om der er en proff-of-concept tilgængelig eller om sårbarheden har været rapporteret udnyttet. Denne score fastsættes af forbrugeren.
  • CVSS-BE: CVSS Base + Environmental Score – her suppleres basisscoren med elementer, som indgår i brugerens miljø, og som er afhængig af brugerens forhold, fx om adgangsvektoren er netværksbaseret, fysisk, lokal, om angrebskompleksiteten er høj eller lav, hvilke privilegier en udnyttelse kræver, brugerinteraktion mv.
  • CVSS-BTE: CVSS Base + Threat + Environmental Score – her kombineres alle tre elementer, basisscoren, environmental og trusselscoren i beregningen.

Beregneren findes på FIRSTs hjemmeside og giver et rigtigt godt indblik i, hvad sårbarhedens score er afhængig af, og hvad der fx. skal til for at en sårbarhed får den maksimale score på 10,0.

DKCERT anbefaler alle, der interesserer sig for sårbarheder og gerne vil forstå kompleksiteten i sårbarheder og deres udnyttelse, at prøve beregneren. Beregneren findes tilgængelig på FIRSTs hjemmeside.

Links:

https://www.first.org/cvss/calculator/4.0#

https://cert.dk/da/news/2023-11-03/Ny-version-af-CVSS

Keywords: