В чём заключается принцип оценки уязвимостей с помощью CVSS?

Принцип оценки уязвимостей с помощью CVSS (Common Vulnerability Scoring System) заключается в том, что оценки рассчитываются по специальным формулам на основе нескольких метрик. ru.wikipedia.org Они приблизительно оценивают простоту внедрения эксплойта и его влияние на компьютерную систему. ru.wikipedia.org

Выделяют три типа метрик: encyclopedia.kaspersky.ru

1. Базовые. encyclopedia.kaspersky.ru Общие метрики, описывающие уязвимость и не зависящие от времени или конкретного окружения. encyclopedia.kaspersky.ru К ним относятся, например, вектор атаки, сложность атаки, необходимость каких-либо действий со стороны пользователя и уровень привилегий, которые требуются злоумышленнику для реализации атаки. encyclopedia.kaspersky.ru
2. Метрики воздействия. encyclopedia.kaspersky.ru Касаются последствий эксплуатации уязвимости для системы и хранящихся в ней данных. encyclopedia.kaspersky.ru Например, может ли атакующий вывести систему из строя, получить доступ к конфиденциальным данным, модифицировать файлы и т. д.. encyclopedia.kaspersky.ru
3. Временные метрики. encyclopedia.kaspersky.ru Описывают внешние факторы, которые могут измениться с течением времени. encyclopedia.kaspersky.ru Например, наличие доступного эксплойта или, наоборот, патча. encyclopedia.kaspersky.ru

На основании метрик с помощью набора формул вычисляется оценка CVSS Score. encyclopedia.kaspersky.ru Она может принимать значение от 0 до 10, где 0 означает, что уязвимость не представляет серьёзной угрозы, а 10 — что уязвимость представляет чрезвычайно серьёзную угрозу. rcngroup.ru