Как устроена система оценки уязвимостей по шкале CVSS?

Система оценки уязвимостей по шкале CVSS (Common Vulnerability Scoring System) — открытый стандарт, который используется для расчёта количественных оценок уязвимости в безопасности компьютерной системы. ru.wikipedia.org

Оценка состоит из двух основных компонентов: www.kaspersky.ru

1. Числовой рейтинг (CVSS score). www.kaspersky.ru Отражает серьёзность уязвимости по шкале от 0 до 10, где 10 — максимально опасная, критическая уязвимость. www.kaspersky.ru
2. Вектор — стандартизованная текстовая строка, которая описывает основные характеристики уязвимости. www.kaspersky.ru Например, можно ли её эксплуатировать по сети или только локально, нужны ли для этого повышенные привилегии, насколько сложно эксплуатировать уязвимость и так далее. www.kaspersky.ru

Система предлагает ключевые метрики по трём основным измерениям: xygeni.io

1. Базовые показатели. xygeni.io Измеряют внутренние характеристики уязвимости, которые не меняются со временем или в разных средах. xygeni.io Некоторые из них: вектор атаки, сложность атаки, требуемые привилегии, влияние. xygeni.io
2. Временные метрики. xygeni.io Оценивают уязвимость по мере развития условий, например, зрелость кода эксплойта, уровень исправления, достоверность сообщаемой информации. xygeni.io
3. Экологические показатели. xygeni.io Подгоняют оценку под конкретный контекст организации, отражая уникальное влияние уязвимости на бизнес. xygeni.io Некоторые из них: модифицированные показатели воздействия, требования безопасности. xygeni.io

Результатом расчёта являются три числовые оценки (Base Score, Temporal Score и Environmental Score), каждая из которых может принимать значение от 0 до 10. ru.wikipedia.org