Skip links
Vagas

Estamos contratando - Faça parte da nossa equipe 👋

Saiba mais
Instagram Linkedin Spotify Soundcloud Youtube Itunes-note Deezer
Ouça o RedCast
Fale conosco
Redbelt Security

Criticidade versus Risco: por que o CVSS não é suficiente para priorizar correções

Author
Published on:
Published in: Blog

O CVSS é usado na prática para avaliar a gravidade de vulnerabilidades identificadas em sistemas, o que permite que profissionais de cibersegurança priorizem correções com base em uma pontuação padronizada. É fundamentalmente uma ferramenta de avaliação de severidade, não de gestão de risco. Por isso, só a pontuação não é suficiente para priorizar quais falhas corrigir.

Neste artigo, indicamos alguns caminhos possíveis para que o time de segurança da sua empresa entenda como avaliar as vulnerabilidades e tomar decisões de forma alinhada ao negócio.

  1. O que é o CVSS e qual é a sua importância
  2. Como o CVSS é usado na prática
  3. Limitações do CVSS na gestão de riscos
  4. RedTalks – Além do CVSS: como avaliar e priorizar vulnerabilidades

1. O que é o CVSS e qual é a sua importância

O CVSS (Common Vulnerability Scoring System) é um sistema padronizado mantido pela FIRST.org. É utilizado para pontuar a severidade de vulnerabilidades, atribuindo a elas um valor que varia de 0 (sem gravidade) a 10 (criticidade máxima).

Ferramentas de varredura de segurança e bancos de dados, como o NVD (National Vulnerability Database), utilizam o CVSS para classificar vulnerabilidades, ajudando na automação e gestão contínua de segurança.

Além disso, normas de segurança da informação, como a ISO 27001, e frameworks de conformidade, como o PCI DSS, incentivam ou exigem a utilização de métricas como o CVSS na análise de riscos.

2. Como o CVSS é usado na prática

Na prática, após identificar uma vulnerabilidade, os times de segurança consultam ou calculam sua pontuação CVSS usando ferramentas como a calculadora do FIRST, interpretam a severidade (se é baixa, média, alta ou crítica) e decidem o nível de urgência para corrigi-la, levando em conta o contexto do ativo afetado e o risco para o negócio.

A estrutura do CVSS leva em conta três tipos de métricas:

  1. Base Metrics (Métricas Base): avaliam as características da vulnerabilidade, sem considerar fatores externos.

    Critérios: como o ataque ocorre (Attack Vector – AV), quão difícil é explorar a falha (Attack Complexity – AC), qual é o nível de acesso necessário para o atacante (Privileges Required – PR), se exige que o usuário faça alguma ação, como clicar em um link ou baixar um arquivo (User Interaction – UI), se o impacto do ataque se limita ao sistema afetado ou se afeta outros (Scope – S), além do impacto na confidencialidade dos dados (Confidentiality – C), do impacto na integridade dos dados (Integrity – I) e do impacto na disponibilidade do sistema (Availability – A).

  2. Temporal Metrics (Métricas Temporais): refletem a mudança da gravidade conforme novas informações surgem.

    Critérios: existência e maturidade de exploits (Exploit Code Maturity – E), disponibilidade de correções ou soluções temporárias (Remediation Level – RL), confiabilidade das informações sobre a vulnerabilidade (Report Confidence – RC).

  3. Environmental Metrics (Métricas Ambientais): permitem adaptar a pontuação ao ambiente específico da organização.

    Critérios: importância da confidencialidade no ambiente (Confidentiality Requirement – CR), importância da integridade no ambiente (Integrity Requirement – IR), importância da disponibilidade no ambiente (Availability Requirement – AR).

3. Limitações do CVSS na gestão de riscos

A função principal do CVSS é avaliar as vulnerabilidades com base na severidade técnica. Porém, estudos como o da Cybersixgill apontam que a pontuação não corresponde a explorações reais, e vulnerabilidades com pontuações médias e baixas ainda são frequentemente exploradas.

Além disso, a pontuação atribuída a uma vulnerabilidade, a princípio, permanece inalterada. Isso é problemático porque não reflete desenvolvimentos subsequentes que podem afetar a gravidade da ameaça, como o lançamento de uma ferramenta de exploração fácil de usar, o que pode levar as organizações a subestimar a urgência de abordar a vulnerabilidade.

Outro ponto que dificulta a utilização isolada do CVSS para a gestão de riscos é que a pontuação adota uma abordagem única, que não considera os diversos contextos em que as vulnerabilidades existem. Isso significa, por exemplo, que uma falha num servidor de banco de dados pode ter o mesmo CVSS em uma empresa de tecnologia e em um hospital, mesmo que os riscos sejam diferentes para cada negócio.

4.  RedTalks – Além do CVSS: como avaliar e priorizar vulnerabilidades

No RedTalks que abordou o tema, nossos profissionais deram mais detalhes sobre outros aspectos do CVSS para justificar por que considerar a pontuação isoladamente não é recomendável para uma gestão eficiente dos riscos cibernéticos.

Assista à integra do RedTalks:

A Redbelt Security está pronta para apoiar o seu negócio

A Redbelt Security pode auxiliar no desenvolvimento de um plano de cibersegurança de acordo com as necessidades da sua empresa. Fale com um de nossos consultores para saber mais.

Leia também

This website uses cookies to improve your web experience.