Система CVSS (Common Vulnerability Scoring System) отмечает в этом году двадцатилетний юбилей, став общепринятым инструментом оценки угроз безопасности. Несмотря на долгую историю и четыре релиза стандарта (последний — версия 4.0), ее рейтинги часто применяют некорректно, а сама методика вызывает дискуссии. Какие аспекты CVSS необходимо понимать для грамотной защиты информационных активов?
Основы системы CVSS
Согласно документации, CVSS предназначен для описания характеристик и опасности брешей в программных продуктах. Система курируется сообществом FIRST и создавалась для стандартизации терминологии и автоматизации обработки данных о дефектах. Почти все известные уязвимости в базах CVE и аналогах содержат оценку критичности по этой шкале.
Оценка включает две ключевые составляющие:
- Балльный показатель (CVSS score) от 0 до 10, где 10 — наивысший уровень угрозы.
- Вектор — формализованное описание параметров уязвимости: условия эксплуатации (локально/через сеть), необходимость прав доступа, сложность реализации, влияние на защищенность данных и работоспособность систем.
Пример для активно использовавшейся уязвимости Log4Shell (CVE-2021-44228):
Базовый балл 10.0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
Расшифровка: вектор воздействия — сетевой, низкая сложность атаки, отсутствие требований к привилегиям или действиям пользователя, влияние на смежные системы, максимальный ущерб конфиденциальности, целостности и доступности.
Детальные пояснения по параметрам доступны в официальных спецификациях (3.1, 4.0). Важным элементом является калькулятор оценок (4.0, 3.1), где на основе вектора автоматически вычисляется итоговый балл.
Изначально методология включала три категории метрик: базовые (постоянные характеристики), временные (изменяемые факторы, например появление эксплойта) и контекстные (специфика конкретной инфраструктуры). В CVSS 4.0 произошла реструктуризация: временные показатели стали частью метрик угроз (threat metric), добавились вспомогательные параметры (supplemental).
Логика применения: эксперты определяют базовый уровень угрозы (CVSS-B), затем корректируют его с учетом текущих факторов риска (CVSS-BT), а организации адаптируют оценку под свои условия (CVSS-BTE).
Развитие стандарта CVSS
Первые релизы (2005, 2007) сейчас практически не используются. Современные оценки чаще основываются на версиях 3.1 (2019) и 4.0 (2023), причем многие реестры и вендоры пока сохраняют 3.1.
CVSS 1.0 заложил основы балльной оценки с разделением на базовые/временные/контекстные параметры. В версии 2.0 появилась стандартизированная векторная запись и трехуровневая модель расчета (базовый → временной → контекстный баллы).
В CVSS 3.x ввели понятие области воздействия (scope), уточнили критерии привилегий и взаимодействия с пользователем. Подчеркивалось, что система измеряет серьезность угрозы, а не сопутствующие риски.
Версия 4.0 усилила связь с управлением бизнес-рисками (хотя напрямую не оценивает их). Усложнилась градация сложности атаки (логика реализации vs внешние условия), заменился расплывчатый параметр scope на четкое описание влияния на связанные системы. Дополнительные индикаторы охватывают возможность автоматизации атаки и угрозу физической безопасности. Формулы расчета пересмотрены на основе анализа реальных инцидентов.
Последствия перехода на CVSS 4.0
Новая версия призвана упростить работу с растущим числом уязвимостей (десятки тысяч), особенно тех, что получают высшие оценки и требуют срочного устранения (в среднем — за 7 месяцев).
При переходе с 3.1 на 4.0 базовые оценки для баллов 4.0–9.0 обычно повышаются, а для критических (9.0–10.0) могут снизиться. Главное отличие — усиление влияния метрик угрозы и окружения. Исследование Orange Cyberdefense показывает: среди 8000 уязвимостей доля версий 8.0+ по CVSS 4.0 составляет 33% (против 18% в 3.1), но с учетом поправок на эксплойты она сокращается до 8% (10% в 3.1).
Градации серьезности уязвимостей
Спецификация формально ранжирует угрозы по текстовым категориям, но их включение в описания — необязательно:
- Низкая (low): 0,1–3,9.
- Средняя (medium): 4,0–6,9.
- Высокая (high): 7,0–8,9.
- Критическая (critical): 9,0–10,0.
На практике производители ПО часто корректируют названия категорий. Например, в июньских обновлениях Microsoft уязвимость с оценкой 8,8 помечена как Important, а оценка 8,1 — как Critical.
В следующей части мы разберем типичные ошибки в применении CVSS, спорные моменты в расчетах и эффективные методы ранжирования угроз.