Common Vulnerability Scoring System (CVSS)

Common Vulnerability Scoring System (CVSS) se utiliza para valorar la gravedad y el riesgo de seguridad del sistema.

En IBM® QRadar®7.5.0, QRadar Vulnerability Manager da soporte a CVSS (Common Vulnerability Scoring System) 2.0, 3.0y 3.1. Se devuelven puntuaciones y valores de métrica para la versión más alta disponible en los datos de vulnerabilidad.

CVSS es un entorno abierto que consta de los siguientes grupos de métricas:
  • Básico
  • Temporal
  • Del entorno

Básico

El rango de gravedad de la puntuación base es 0 - 10 y representa las características inherentes de la vulnerabilidad. La puntuación base tiene el mayor peso en la puntuación CVSS final y se puede dividir en las subpuntuaciones siguientes:
  • Impacto

    La subpuntuación de impacto representa métricas para el impacto de confidencialidad, el impacto de integridad y el impacto de disponibilidad de una vulnerabilidad explotada satisfactoriamente.

  • Aprovechamiento

    En CVSS v2, la subpuntuación de explotabilidad representa métricas para vector de acceso, complejidad de acceso y autenticación. La subpuntuación mide cómo se accede a la vulnerabilidad, la complejidad del ataque y el número de veces que un atacante debe autenticarse para explotar satisfactoriamente una vulnerabilidad.

    En CVSS v3, la subpuntuación de explotabilidad representa métricas para vector de ataque, complejidad de ataque, privilegios necesarios, interacción de usuario y ámbito. La subpuntuación mide cómo se accede a la vulnerabilidad, la complejidad del ataque, los privilegios necesarios, la interacción necesaria entre el atacante y otro usuario y el impacto en los recursos más allá del componente vulnerable.

Temporal

La puntuación temporal representa las características de una amenaza de vulnerabilidad que cambian con el tiempo, y consta de las siguientes medidas:
  • Explotabilidad (CVSS v2) o madurez de código de explotación (CVSS v3)

    La disponibilidad de técnicas o código que se puede utilizar para explotar la vulnerabilidad, que cambia con el tiempo.

  • Nivel de remediación

    El nivel de remediación disponible para una vulnerabilidad.

  • Confianza en el informe

    El nivel de confianza en la existencia de la vulnerabilidad y la credibilidad de sus detalles técnicos.

Del entorno

La puntuación del entorno representa características de la vulnerabilidad afectadas por el entorno del usuario. Configure las siguientes medidas del entorno para resaltar las vulnerabilidades de activos importantes o críticos aplicando medidas del entorno más elevadas. Aplique las puntuaciones más altas para los activos más importantes porque las pérdidas que están asociadas a estos activos tienen mayores consecuencias para la organización.

  • Potencial de daño colateral (CDP) (solo CVSS v2 )

    El potencial de pérdida de vidas humanas o activos físicos a través de daños o el robo de este activo, o la pérdida económica de productividad o ingresos.

  • Distribución de destino (TD) (solo CVSS v2 )

    La proporción de sistemas vulnerables en el entorno del usuario.

  • Requisito de confidencialidad (CR)

    El nivel de impacto en la pérdida de confidencialidad cuando se explota una vulnerabilidad en este activo.

  • Requisito de integridad (IR)

    Esta métrica indica el nivel de impacto en la pérdida de integridad cuando se explota una vulnerabilidad con éxito en este activo.

  • Requisito de disponibilidad (AR)

    El nivel de impacto en la disponibilidad del activo cuando se explota una vulnerabilidad con éxito en este activo.