Si̇ber Güvenli̇kte Ortak Güvenli̇k Açiği Puanlama Si̇stemi̇ (Cvss) Nedi̇r?

Son birkaç yılda on binlerce yeni bilgisayar sistemi güvenlik açığı keşfedildi. Yalnızca 2020 ve 2021'de yıllık yeni güvenlik açıklarının sayısı 18.000'i aştı .

Bu bilgi güvenliği güvenlik açıkları, çeşitli şekil ve boyutlarda gelir. Yazılım güvenlik açıkları genellikle aynı birkaç hatayı tekrar tekrar yapmaktan ibaret olsa da, bu farklı güvenlik açıklarının farklı etkileri vardır ve etkileri söz konusu yazılıma bağlıdır.

Birçok şirket, bilgisayar güvenlik açığı yönetimine ayak uydurmak için mücadele eder ve çabalarının etkisini en üst düzeye çıkarmak için genellikle yama programlarına öncelik vermeye çalışır. Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) bunu mümkün kılar.

CVSS NEDİR?

CVSS, güvenlik açıklarının nasıl çalıştığına ve farklı güvenlik açıklarının ciddiyetine ilişkin tartışmaları kolaylaştırmak için tasarlanmış bir çerçevedir. Ortak bir standart olmadan, her güvenlik araştırmacısı veya satıcısı, açıkladıkları güvenlik açıkları için kendi terminolojisini veya sınıflandırmasını kullanabilir ve bu da çeşitli kuruluşlardaki güvenlik açığı bilgilerinin anlaşılmasını ve karşılaştırılmasını zorlaştırabilir.

CVSS, bilgisayar sistemi güvenlik açıklarını 0.0-10.0 aralığında puanlar. Bu puanlar, önem dereceleriyle eşleştirilir:

Yok: 0.0

Düşük: 0.1-3.9

Orta: 4.0-6.9

Yüksek: 7.0-8.9

Kritik: 9.0-10.0

Ulusal Güvenlik Açığı Veritabanı (NVD) , tüm güvenlik açıkları için CVSS puanlarını listeler.  Ortak Güvenlik Açığı Numaralandırma (CVE) listeleri ayrıca CVSS puanlarını veya NVD'ye ve CVSS puanlarına bağlantılar içerir.

CVSS PUANLARI NASIL HESAPLANIR?

CVSS, belirli bir güvenlik açığının ne kadar kötü olduğunu açıklayan tek bir puan sağlar. Bu puan üç farklı değer kullanılarak hesaplanır:

Temel Puan: Bu puan, zaman içinde veya farklı kullanıcı grupları arasında gelişmeyen bir güvenlik açığının statik özelliklerini temsil eder. Bu, güvenlik açığının kötüye kullanılabilirliğini ve etkisini içerir.

Zamansal Puan: Zamansal puan, güvenlik açığının zamanla değişebilen yönlerini yakalar. Örneğin, yararlanma kodu zamanla daha olgun ve kullanılabilir hale gelebilir ve satıcı, güvenlik açığı için bir yama yayınlayabilir.

Çevresel Puan: Çevresel puan, belirli bir ortama özgü olabilecek bir güvenlik açığının yönlerine dayanır. Bunlar, bir güvenlik açığının etkisini artırabilecek veya azaltabilecek bir kurumsal ortamın özniteliklerini içerir.

Bu üç puanın her biri, bir dizi farklı faktöre dayalı olarak hesaplanır. Örneğin, Temel ve Geçici puanlar altındaki etki alt puanları, gizlilik, bütünlük ve kullanılabilirlik üzerindeki etkilerin birleşimi olarak hesaplanır.

CVSS puanları, NVD veya FIRST web sitelerinde barındırılan bir hesap makinesi kullanılarak hesaplanabilir . CVSS puanı hesaplamak için yalnızca Temel Puanın hesaplanması gerekir. Geçici ve Çevresel puanlar isteğe bağlıdır ve genel puanı, bir güvenlik açığının halihazırda bir kuruluş için oluşturduğu gerçek riski daha iyi yansıtacak şekilde değiştirebilir.

GÜVENLİĞİNİZİ ARTIRMAK İÇİN CVSS PUANLARINDAN YARARLANMA

CVSS puanı, bilgisayar sistemi güvenlik açığının etkisini ayrı ayrı açıklayan tek bir değer sağlar. Ancak, güvenlik açığı düzeltmesi ve olay müdahalesi için kullanırken, bağlamsal faktörleri de hesaba katmak önemlidir.

CVSS puanı, bir güvenlik açığının etkisini ve önem derecesini etkileyen bir kuruluşun iç ortamının ayrıntılarını hesaba katamaz. Örneğin, kritik bir sistemdeki CVSS ölçeğindeki Orta önemdeki bir güvenlik açığı, daha az önemli bir sistemdeki Kritik önemdeki bir güvenlik açığından daha büyük bir iş etkisine sahip olabilir.

CVSS ölçeği, yalnızca bir güvenlik açığı değerlendirmesi veya sızma testi gerektiren güvenlik açıklarının mevcut olduğunu biliyorsanız, güvenlik açıklarını sıralamak için kullanışlıdır. Ortamınızdaki olası güvenlik açıklarını nasıl bulabileceğinizi tartışmak veya gelişmiş sızma testi hizmetlerimiz hakkında daha fazla bilgi edinmek için