# Что такое CVSS
CVSS или Common Vulnerability Scoring System — стандарт для оценки степени опасности любых уязвимостей. Он помогает компаниям, исследователям и даже в какой-то степени злоумышленникам, объективно расставлять приоритеты в борьбе (или эксплуатации) уязвимостей.
Как это часто бывает с любыми стандартами, у него есть и автор. CVSS разработал Национальный совет по инфраструктуре (National Infrastructure Advisory Council, NIAC) из США. Над ним также работали коммерческие организации: от Microsoft до CISCO. Последняя версия этого стандарта (СVSS 4.0) разработана и выпущена в октября 2023 года Форумом команд реагирования на инциденты и безопасности или FIRST.
В этой статье мы подробнее разберем CVSS 3.1 — в перспективе ближайшего года будут использовать всё ещё эту метрику. Во-первых, переход к новой системе подсчета требует времени. Во-вторых, эта система кажется более простой, пускай и менее точной, чем последняя версия.
***
## Как работает методика CVSS
Любую уязвимость можно оценить в рамках нескольких метрик. Создатели CVSS разделили её на три больших блока.
* Базовые метрики — основные характеристики уязвимости. Они не меняются со временем и никак не зависят от среды.
* Временные метрики — характеристики, которые могут меняться со временем, но не зависят от среды.
* Метрики окружения — характеристики, которые связаны со средой пользователя. Они не влияют на базовую оценку и служат необязательными. Обычно их применяют, если пользователь хочет уточнить основную оценку.
#### Какие пункты входят в метрики?
| Базовая метрика | Временная метрика | Метрика окружения |
| ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Вектор доступа или Access Vector (AV) — отображает, как эксплуатируется уязвимость. | Возможность использования или Exploitability (E) — отображает наличие/отсутствие кода или техники эксплуатации.
Чем проще использовать уязвимость для любого злоумышленника → тем выше значение.
| Вероятность нанесения косвенного ущерба или Collateral Damage Potential (CDP) — отображает потенциальную экономическую проблему от внедрения уязвимости.
Чем выше косвенный ущерб → тем выше оценка.
|
| Сложность доступа или Access Complexity (AC) —
отображает сложность эксплуатации атаки, если злоумышленник получил доступ к целевой системе.
Чем проще получить доступ → тем выше оценка.
| Уровень исправления или Remediation Level (RL) — отображает, как работают с предотвращением уязвимости.
Чем менее официальный характер носит исправление или чем более оно временное → тем выше оценка.
| Плотность целей или Target Distribution (TD) — отображает процент уязвимых систем от всех имеющихся систем.
Чем выше процент уязвимых систем → тем выше оценка.
|
| Аутентификация или Authentication (Au) —
отображает количество этапов аутентификации, которые злоумышленник должен пройти в целевой системе, чтобы работать с уязвимостью.
Чем меньше нужно этапов → тем выше оценка
| Степень достоверности отчёта или Report Confidence (RC) — отображает степень конфиденциальности информации о существовании уязвимости и достоверность технических деталей.
Чем больше достоверно известно фактов об уязвимости → тем выше оценка.
| Требования к безопасности или Security Requirements (CR, IR, AR) — позволяют определить CVSS-оценку в зависимости от важности уязвимого устройства или ПО, измеренной в конфиденциальности, целостности и доступности.
Обычное в этой метрики дают оценку для каждой из трех значений. Может быть так, что для конфиденциальности ПО уязвимость будет иметь высокое значение, но для доступности и целостности низкое.
Чем больший ущерб для конфиденциальности, целостности и доступности → тем выше оценка.
|
| Влияние на доступность или Availability Impack (А) — отображает влияние успешной эксплуатации уязвимости на доступность информационных ресурсов системы.
Чем меньше доступности к системе после внедрения уязвимости → тем выше значение.
| | |
#### Как считают CVSS
1\. Выставляют метрики\
2\. С помощью специальных формул вычисляют оценку, у нее тоже есть общая градация.
* 9,0–10,0 — критический уровень опасности;
* 7,0–8,9 — высокий;
* 4,0–6,9 — средний;
* 0,1–3,9 — низкий;
* 0 — опасность отсутствует.
Существуют [онлайн-калькуляторы CVSS](https://first.org/cvss/calculator/4.0): они помогают быстрее рассчитать оценку уязвимостям.\
\
Дополнительные материалы:\
\
[Здесь](https://www.first.org/cvss/v4-0/index.html) можно почитать подробнее почитать о CVSS последней версии — 4.0.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://notes.kraken-security.ru/kraken/krupicy-znanii/obshie-stati/chto-takoe-cvss.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.