Günümüz siber güvenlik dünyasında, güvenlik açıklarının doğru bir şekilde değerlendirilmesi, hangi açıkların öncelikli olarak ele alınması gerektiği konusunda kararlar alınması için kritik bir adımdır. CVSS konusunda zaman zaman değerlendirme konusunda farklılıklar olduğunu gözlemledim ve bu konuda bir şeyler karalamak istedim :)
CVSS (Common Vulnerability Scoring System), güvenlik açıklarının ciddiyetini belirlemek için kullanılan yaygın bir skorlama sistemidir.
CVSS :
-Temel metrikler (Base),
-Geçici metrikler (Temporal) ve
-Çevresel metrikler (Environmental)
olmak üzere üç ana bileşenden oluşur.
National Vulnerability Database (NVD) her CVE'yi (Common Vulnerabilities and Exposures) kaydederek, ilgili CVSS skorlarını atar.
Bu metrikler, zafiyetin etkisini ve potansiyel riskini belirler. CVSS, zaman içinde güncellenmiş ve daha doğru değerlendirmeler yapmak için yeni sürümler çıkarmıştır. En son sürüm CVSS v4 mevcuttur ancak 3.1 versiyonu kadar henüz yaygınlaşmamıştır.
Bir örnek üzerinden nasıl okumamız gerektiğine bakalım :
Base Score: 7.2 (HIGH)
CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
📌 CVSS v3.1 Açıklaması :
AV (Attack Vector): L (Local) - Bu zafiyetin istismar edilebilmesi için saldırganın hedef sistemde yerel olarak erişim sağlaması gerekmektedir.
AC (Attack Complexity): H (High) - Saldırıyı gerçekleştirmek için yüksek bir karmaşıklık gereklidir. Yani, saldırganın gerçekleştirebilmesi için belirli teknik bilgiye sahip olması gerekebilir.
PR (Privileges Required): H (High) - Saldırganın, bu güvenlik açığını istismar edebilmesi için yüksek yetkilere sahip olması gerekir.
UI (User Interaction): R (Required) - Saldırının başarılı olabilmesi için kullanıcının bir şekilde etkileşime girmesi gereklidir (örneğin bir dosyayı açmak veya bağlantıyı tıklamak gibi).
S (Scope): C (Changed) - Zafiyetin etkisi, sistemin davranışını değiştirir. Yani, bu güvenlik açığı sadece belirli bir bileşeni etkilemekle kalmaz, tüm sistemin çalışmasını etkileyebilir.
C (Confidentiality): H (High) - Bu açık, hedef sistemin gizliliğini ciddi şekilde tehdit eder. Saldırgan, sistemdeki hassas verilere erişebilir.
I (Integrity): H (High) - Bu açık, sistemin bütünlüğünü ciddi şekilde tehdit eder. Saldırgan, verileri değiştirebilir veya manipüle edebilir.
A (Availability): H (High) - Bu açık, sistemin kullanılabilirliğini ciddi şekilde etkiler. Saldırgan, hedef sistemin erişilemez hale gelmesine neden olabilir.
Bu vektöre göre Base Score 7.2 (Yüksek) olarak hesaplanır.
Yüksek bir Base Score, zafiyetin kritik olduğunu ve hızlı bir müdahale gerektirdiğini gösterir.
CVSS, güvenlik açıklarını anlamak ve bunlara nasıl müdahale edileceğini planlamak için kritik bir araçtır. Zafiyetlerinizi doğru bir şekilde değerlendirmek, organizasyonunuzu korumak adına atılacak ilk adımdır. Bu sistem sayesinde, güvenlik açıklarının önceliklendirilmesi çok daha kolay hale gelir...