Wat is CVSS?

5 27 december 2024

Inhoudsopgave

  1. Wat is CVSS?
  2. Waarom CVSS gebruiken?
  3. Hoe werkt CVSS?
  4. CVSS-scores en kwalificaties
  5. Voorbeeld van een CVSS-beoordeling
  6. CVSS en Anovum

Wat is CVSS?

De Common Vulnerability Scoring System (CVSS) is een wereldwijd geaccepteerde standaard die wordt gebruikt om de ernst van beveiligingskwetsbaarheden in IT-systemen te beoordelen. Het biedt een numerieke score (tussen 0.0 en 10.0) en een bijbehorende kwalificatie (bijvoorbeeld “Laag”, “Medium”, “Hoog”, “Kritiek”) die de impact en het risico van een kwetsbaarheid beschrijven.

CVSS helpt organisaties prioriteit te geven aan kwetsbaarheden op basis van hun potentiële impact, zodat ze effectief maatregelen kunnen nemen om beveiligingsrisico’s te beperken.

Waarom CVSS gebruiken?

  1. Gestandaardiseerde beoordeling: CVSS biedt een uniforme manier om kwetsbaarheden te scoren, wat consistente communicatie tussen beveiligingsteams mogelijk maakt.
  2. Prioritering van kwetsbaarheden: Door de ernst van een kwetsbaarheid te kwantificeren, kunnen organisaties bepalen welke problemen het eerst moeten worden aangepakt.
  3. Transparantie: CVSS-scores worden berekend op basis van duidelijke criteria, zodat organisaties begrijpen waarom een bepaalde score is toegekend.
  4. Breed geaccepteerd: CVSS wordt wereldwijd gebruikt en is de standaard voor veel tools, beveiligingsexperts en softwareleveranciers.

Hoe werkt CVSS?

CVSS beoordeelt kwetsbaarheden op basis van drie hoofdcategorieën:

  1. Base Metrics:
    Beschrijft de fundamentele eigenschappen van een kwetsbaarheid die onveranderlijk zijn. Dit omvat:
    • Aanvalsvector (Attack Vector): Hoe eenvoudig is het om de kwetsbaarheid te misbruiken?
    • Complexiteit (Attack Complexity): Hoeveel moeite is er nodig om de aanval succesvol uit te voeren?
    • Privileges (Privileges Required): Zijn er speciale toegangsrechten nodig?
    • Impact: Hoe beïnvloedt de kwetsbaarheid de Confidentiality (vertrouwelijkheid), Integrity (integriteit) en Availability (beschikbaarheid) van systemen?
  2. Temporal Metrics:
    Deze metrics houden rekening met factoren die in de loop van de tijd kunnen veranderen, zoals of er al een exploit beschikbaar is of hoe betrouwbaar de informatie over de kwetsbaarheid is.
  3. Environmental Metrics:
    Deze metrics passen de score aan op basis van de specifieke omgeving van de organisatie, zoals het belang van de getroffen systemen voor het bedrijf.

CVSS-scores en kwalificaties

CVSS-scores worden ingedeeld in verschillende categorieën:

  • 0.0: Geen risico
  • 0.1 – 3.9: Laag risico
  • 4.0 – 6.9: Middelmatig risico
  • 7.0 – 8.9: Hoog risico
  • 9.0 – 10.0: Kritiek risico

Voorbeeld van een CVSS-beoordeling

Een kwetsbaarheid waarbij een aanvaller eenvoudig via een netwerk toegang kan krijgen tot een systeem, zonder inloggegevens, en ernstige impact heeft op vertrouwelijkheid, integriteit en beschikbaarheid, kan een CVSS-score van 9.8 (“Kritiek”) krijgen.

Als diezelfde kwetsbaarheid alleen kan worden misbruikt door een gebruiker met specifieke toegangsrechten, kan de score lager uitvallen, bijvoorbeeld 6.8 (“Medium”).

CVSS en Anovum

Bij Anovum maken we gebruik van de CVSS (versie 4.1) om de ernst van kwetsbaarheden te beoordelen. Daarnaast passen we een CIA-weging (Confidentialiteit, Integriteit en Beschikbaarheid) toe om de impact in de specifieke context van onze klanten te evalueren.

Dit stelt ons in staat om niet alleen technische scores te rapporteren, maar ook praktische en op maat gemaakte aanbevelingen te geven die aansluiten bij de bedrijfsprioriteiten van onze klanten.

Vorige artikel

Wat is een White Box pentest?

Volgende artikel

Wat is OWASP WSTG?