O que é o Sistema de Pontuação de Vulnerabilidades Comuns (CVSS)?

Autores

Alice Gomstyn

Staff Writer

IBM Think

Alexandra Jonker

Staff Editor

IBM Think

O que é o Common Vulnerability Scoring System (CVSS)?

O Common Vulnerability Scoring System (CVSS) é um framework amplamente utilizado para classificar e avaliar vulnerabilidades de software.
 

Por meio desse framework, as organizações podem calcular uma pontuação de CVSS, uma pontuação numérica que representa a gravidade de uma vulnerabilidade. As características de uma vulnerabilidade que contribuíram para a pontuação de CVSS são representadas em uma cadeia de texto conhecida como string de vetor CVSS.

Houve várias versões do CVSS desde 2005. A versão mais recente, CVSS v4.0, foi lançada em 2022. O grupo sem fins lucrativos FIRST.org, Inc., também conhecido como Fórum de Equipes de Segurança e Resposta a Incidentes, gerencia essa estrutura.

Boletim informativo Think

Sua equipe apanharia o próximo dia zero a tempo?

Junte-se aos líderes de segurança que confiam no boletim informativo Think para receber notícias selecionadas sobre IA, cibersegurança, dados e automação. Aprenda rápido com tutoriais e explicações de especialistas, entregues diretamente em sua caixa de entrada. Consulte a Declaração de privacidade da IBM.

Sua assinatura será entregue em inglês. Você pode encontrar um link para cancelar a assinatura em todos os boletins informativos. Você pode gerenciar suas assinaturas ou cancelar a assinatura aqui. Consulte nossa Declaração de privacidade da IBM para obter mais informações.

https://www.ibm.com/br-pt/privacy

Por que o CVSS é importante?

O CVSS é uma ferramenta importante para o gerenciamento de vulnerabilidades, que é a descoberta contínua, a priorização e a resolução de vulnerabilidades de segurança na infraestrutura de TI e no software de uma organização. Identificar e resolver erros e pontos fracos de cibersegurança, como configurações incorretas de firewall e bugs não corrigidos, é fundamental para garantir a funcionalidade total da infraestrutura e do software de TI.

As medidas de resolução podem ser:

  • Remediação: garantir que uma vulnerabilidade não possa mais ser explorada.

  • Mitigação: tornar uma vulnerabilidade mais difícil de explorar e reduzir o possível impacto da invasão.

  • Aceitação: deixar uma vulnerabilidade em vigor se for improvável que seja explorada ou se causar poucos danos.

Dada a complexidade dos sistemas de TI atuais e seu grande volume de vulnerabilidades e ameaças cibernéticas, determinar quais problemas tratar e resolver primeiro pode ser um desafio para os gerentes de TI.

É aí que o CVSS se mostra valioso: ele dá aos gerentes de TI uma abordagem sistemática para avaliar a gravidade de uma vulnerabilidade, ajudando a informar suas decisões sobre a priorização e o planejamento de resoluções de vulnerabilidade para os sistemas afetados.1

As pontuações do CVSS podem ser incorporadas às avaliações de risco, mas uma avaliação do CVSS por si só não deve substituir uma avaliação de risco abrangente de acordo com a FIRST.org. Os guias do usuário do CVSS aconselham que avaliações abrangentes devem incluir fatores fora do escopo do CVSS.2

O que levou à criação do CVSS?

O CVSS começou como um projeto de pesquisa encomendado pelo National Infrastructure Advisory Council (NIAC) em 2003. Naquela época, o cenário das avaliações de vulnerabilidade de software era desarticulado: os fornecedores de segurança de computadores e os grupos sem fins lucrativos utilizavam procedimentos e métricas diferentes, resultando em uma série de sistemas de pontuação exclusivos, muitas vezes proprietários e incompatíveis entre si.3 Essa incongruência dificultava a colaboração entre as equipes de segurança de diversas organizações.4

Os pesquisadores do NIAC criaram o CVSS para padronizar as avaliações de vulnerabilidade. Eles o projetaram para ser um sistema aberto que poderia ser personalizado e adotado por diversos sistemas e ambientes de TI.5

Quais métricas estão incluídas no CVSS?

O CVSS v4.0 consiste em quatro grupos de métrica.6

  • Base
  • Ameaça
  • Ambiental
  • Suplementar

Esses grupos de métricas representam diversas características e qualidades das vulnerabilidades de software. No framework CVSS v4.0, os grupos podem ser descritos da seguinte forma:

Base

As métricas básicas representam as qualidades intrínsecas das vulnerabilidades constantes em todos os ambientes de usuário e ao longo do tempo. As métricas básicas consistem em dois conjuntos, métricas de possibilidade de exploração e métricas de impacto.

As métricas de possibilidade de exploração indicam a facilidade com que uma vulnerabilidade pode ser explorada com sucesso. Exemplos de métricas de exploração incluem:

  • Medidas de quanta interação do usuário um atacante precisa para explorar uma vulnerabilidade

  • Se um invasor pode acessar um sistema local ou remotamente (“vetor de ataque”)

  • Qual o nível de privilégios que um invasor precisa ter para ser bem-sucedido ("privilégios necessários")

  • Se são necessárias condições específicas ou conhecimento avançado para realizar um ataque ("complexidade do ataque")

As métricas de impacto representam os resultados de uma exploração bem-sucedida, o impacto em um sistema vulnerável (como um aplicativo de software ou sistema operacional) e os impactos posteriores em outros sistemas. Exemplos de métricas de impacto:

  • Medidas de perda de confidencialidade, como acesso a informações restritas

  • Perda de integridade, como quando o invasor modifica os dados do sistema

  • Impacto na disponibilidade, referindo-se a se um ataque reduz o desempenho de um sistema ou nega acesso ao sistema a usuários legítimos

Ameaça

As métricas de ameaças representam as características de vulnerabilidade que mudam com o tempo. A maturidade da exploração é a métrica principal nessa categoria, medindo a probabilidade de uma vulnerabilidade específica ser atacada.

A disponibilidade dos códigos de exploração, o estado das técnicas de exploração e as instâncias reais de ataques determinam o valor da métrica atribuído à métrica de maturidade da exploração. Esses valores são:

  • “Atacado” (significa que houve relatos de ataques contra essa vulnerabilidade)

  • “Prova de conceito” (indicando que há códigos de exploração disponíveis, mas não houve ataques conhecidos)

  • “Não relatado” (indicando que não há códigos de prova de conceito de exploração conhecidos nem tentativas de explorar a vulnerabilidade)

Quando não há inteligência de ameaças confiável para determinar a maturidade da exploração, é utilizado um valor padrão "não definido".

Ambiental

O grupo de métrica Ambiental representa características de vulnerabilidade exclusivas do ambiente de um usuário. Assim como o grupo de métricas Base, o grupo Ambiental inclui confidencialidade, integridade e disponibilidade e cada métrica recebe um valor que reflete a importância do ativo vulnerável na organização. Isso se contrapõe ao foco intrínseco das métricas de base.

Além disso, por meio do grupo de métrica ambiental, os analistas podem substituir várias métricas básicas originais por métricas básicas modificadas se a situação em um ambiente específico sugerir que é necessário um valor diferente.

Considere um cenário em que a configuração padrão de um aplicativo exija autenticação para acesso, mas em que o ambiente que hospeda o aplicativo não exija autenticação para administradores. Nesse caso, o valor base original da vulnerabilidade “privilégios necessários” do aplicativo é “alto”, o que significa que é necessário ter alto nível de privilégio para acessá-lo. Entretanto, o valor modificado de “privilégios necessários” seria “nenhum” porque os invasores poderiam teoricamente fazer a exploração da vulnerabilidade assumindo funções administrativas.

Suplementar

O grupo de métricas Suplementares apresenta informações adicionais sobre características extrínsecas de vulnerabilidades, concentrando-se em questões fora da gravidade técnica. Exemplos de métricas complementares:

  • "Automatizável" (se um invasor pode automatizar as etapas do ataque para alcançar vários alvos)

  • "Segurança" (o potencial de um ser humano ser ferido como resultado de uma vulnerabilidade sendo explorada)

  • “Recuperação” (o quanto um sistema se recupera após um ataque)

Como as métricas do CVSS mudaram com o passar do tempo?

As versões do CVSS variam nas métricas que contêm. Por exemplo, o grupo de métricas suplementares é uma inclusão relativamente nova no CVSS. As versões anteriores do CVSS (CVSS v1, CVSS v2, CVSS v3 e CVSS v3.1) não continham esse conjunto de métricas.

No entanto, as versões mais antigas do CVSS incluíam outras métricas, como "confiança do relatório" e "nível de remediação", que pertenciam a um grupo de métricas chamado métricas temporais. A categoria de métrica de ameaças do CVSS v4.0 substituiu o grupo de métrica temporais das versões mais antigas.

O CVSS v4.0 também é considerado como tendo mais detalhamento em suas métricas básicas, permitindo uma compreensão mais abrangente das vulnerabilidades.

Quais são os diferentes tipos de pontuações de CVSS?

Diferentes tipos de pontuações de CVSS refletem os diferentes grupos de métricas considerados na avaliação de uma vulnerabilidade:

  • CVSS-B refere-se às pontuações Básica do CVSS

  • CVSS-BE refere-se às pontuações Básica e Ambiental

  • CVSS-BT refere-se às pontuações de Básica e Ameaça do CVSS

  • CVSS-BTE refere-se às pontuações de Base, Ameaças e Ambientais do CVSS7

Todas as pontuações variam de 0 a 10, sendo 0 a classificação de gravidade mais baixa e 10 a pontuação de gravidade mais alta possível. As métricas suplementares não afetam as pontuações do CVSS, mas podem ser incluídas nas cadeias vetoriais do CVSS v4.0.

Entidades diferentes podem priorizar grupos diferentes de métricas e pontuações. Por exemplo, os fornecedores de software geralmente especificam as pontuações básicas de seus produtos, enquanto as organizações de consumidores podem confiar nas métricas ambientais e de ameaças para indicar o impacto em potencial de uma vulnerabilidade em seus ambientes.8

O que são cadeias de caracteres vetoriais de CVSS?

As cadeias de caracteres vetoriais de CVSS são representações de texto legíveis por máquina de um grupo de métricas de CVSS para uma vulnerabilidade. Diversas abreviações dentro de strings vetoriais correspondem a valores de métricas específicas, ajudando a contextualizar a pontuação de CVSS dessa vulnerabilidade.9

Por exemplo, uma vulnerabilidade com um valor de "vetor de ataque" "L" (de "local") teria "AV:L" em sua cadeia de caracteres vetorial. Se essa vulnerabilidade exigisse que um invasor tivesse um alto nível de privilégios para explorá-la com êxito, o valor "privilégios necessários" seria "H" (de "high" (alto) e sua cadeia de caracteres vetorial incluiria "PR:H".

Em uma string de vetores, cada valor é separado por uma barra (“/”) e deve ser listado em uma ordem prescrita, conforme especificado pelo framework CVSS. Os diferentes valores dos grupos de métricas de Base, Ameaça e Ambiental podem ser combinados em 15 milhões de strings de vetores distintas.10

O CVSS pode ser utilizado para avaliar vulnerabilidades relacionadas à IA?

O CVSS pode ser útil para avaliar tipos específicos das vulnerabilidades de cibersegurança frequentemente descobertas em aplicações de IA, incluindo envenenamento de modelo, denial-of-service ou divulgação de informações. No entanto, o CVSS pode ser menos útil para vulnerabilidades relacionadas à IA principalmente viés, ética ou questões legais, de acordo com a FIRST.org. Essas vulnerabilidades estão relacionadas a inferência, inversão de modelo e injeção de prompt.11

Qual é a diferença entre CVSS, CVE e NVD?

Enquanto o CVSS é um framework para avaliar vulnerabilidades, o CVE (abreviação de Common Vulnerabilities and Exposures) é um glossário de vulnerabilidades de segurança cibernética divulgadas publicamente. As vulnerabilidades incluídas no programa CVE recebem identificadores exclusivos chamados IDs CVE. O programa é mantido pela corporação sem fins lucrativos MITRE e patrocinado pelo Departamento de Segurança Interna dos EUA.

A gravidade das vulnerabilidades catalogadas pelo programa CVE pode ser avaliada com o framework CVSS. No entanto, quando se trata de vulnerabilidades publicadas pelo CVE, as organizações do CVE podem optar por deixar de fazer seus próprios cálculos e, em vez disso, confiar nas pontuações do CVSS apresentadas pelo National Vulnerability Database (NVD). O NVD é um repositório de padrões de dados de gerenciamento de vulnerabilidades do Instituto Nacional de Padrões e Tecnologia dos EUA (NIST). O NVD hospeda um banco de dados online pesquisável de vulnerabilidades identificadas pelo CVE associadas a informações suplementares, incluindo pontuações de CVSS Base e sequências de vetores.

Como fazer uma avaliação de CVSS

As organizações podem usar calculadoras online para determinar vários tipos de pontuações de CVSS, incluindo pontuações de CVSS com base em versões mais antigas do CVSS. As calculadoras de CVSS estão disponíveis nos sites CVSS e NVD. A documentação do CVSS inclui uma recomendação de que as organizações utilizem automação para verificar ameaças para informar a parte de métricas ambientais e de ameaças da avaliação.12

As organizações também podem utilizar ferramentas e plataformas de gerenciamento de vulnerabilidades que incorporem avaliações CVSS. As principais soluções de software de avaliação de vulnerabilidade fazem referência às pontuações de CVSS entre vários fatores-chave, incluindo benchmarks de conformidade, guias de segurança de fornecedores e pesquisas de setores. Essas soluções também podem conter recursos impulsionados por IA, como descoberta de dados, que podem ajudar a melhorar a resposta a incidentes e o gerenciamento de privacidade de uma organização.
Soluções relacionadas
Soluções de segurança corporativa

Transforme seu programa de segurança com soluções do maior provedor de segurança corporativa.

 Explore as soluções de cibersegurança
Serviços de cibersegurança

Transforme sua empresa e gerencie riscos com consultoria em cibersegurança, nuvem e serviços de segurança gerenciados.

         Conheça os serviços de segurança cibernética
    Cibersegurança de inteligência artificial (IA)

    Melhore a velocidade, a precisão e a produtividade das equipes de segurança com soluções de cibersegurança impulsionadas por IA.

         Explore a cibersegurança da IA
    Dê o próximo passo

    Quer você necessite de soluções de segurança de dados, gerenciamento de endpoints ou gerenciamento de acesso e identidade (IAM), nossos especialistas estão prontos para trabalhar com você para alcançar uma postura de segurança forte. Transforme sua empresa e gerencie os riscos com um líder mundial em consultoria de cibersegurança, nuvem e serviços de segurança gerenciados.

         Explore as soluções de cibersegurança Descubra os serviços de cibersegurança
    Notas de rodapé

    1 “The Common Vulnerability Scoring System (CVSS) and Its Applicability to Federal Agency Systems." Computer Security Division, Information Technology Laboratory, National Institute of Standards and Technology. Agosto de 2007.

    2 “Common Vulnerability Scoring System v3.1: User Guide." FIRST.org, Inc. Acessado em 12 de fevereiro de 2025.

    3, 5 “Common Vulnerability Scoring System: Final Report and Recommendations by the Council." National Infrastructure Advisory Council. 12 de outubro de 2004.

    4 “Introduction to CVSS.” FIRST.org, Inc. Acessado em 12 de fevereiro de 2025.

    6, 7, 8, 9, 10 “Common Vulnerability Scoring System version 4.0: Specification Document.” FIRST.org, Inc. Acessado em 12 de fevereiro de 2025.

    11, 12 “Common Vulnerability Scoring System v4.0: Frequently Asked Questions (FAQ).” FIRST.org, Inc. Acessado em 12 de fevereiro de 2025.