Если вы работаете в компании, у которой есть внутренняя сеть, доступ в интернет, стойка с серверами или облачное хранилище — знание CVSS точно пригодится. Каждый день специалисты фиксируют десятки новых уязвимостей в программном обеспечении, оборудовании или облачных платформах. Но какие из них действительно опасны, а какие не представляют серьезной угрозы? Чтобы выяснить это и существует универсальная система оценки серьезности уязвимостей — (Common Vulnerability Scoring System) CVSS. Далее вы узнаете:
- Кто разработал эту систему
- Как ее можно использовать на практике
- Какие метрики включены в стандарт
- Что вам нужно знать об уязвимостях, если вы не работаете в ИБ
- Зачем бизнесу использовать CVSS
Что такое CVSS простыми словами
Важно подчеркнуть: CVSS оценивает не опасность уязвимости как таковой, а именно ее серьезность — это лишь часть общего анализа рисков. Представим, что в системе обнаружена чувствительная брешь в безопасности с критическим баллом. На первый взгляд нужно срочно исправлять. Но может быть ситуация, когда уязвимость обнаружили в компоненте, который вообще не используется в инфраструктуре. Например, сервисы, на которые компонент рассчитан — отключены на уровне сети. Атака на них возможна только при определенных конфигурациях. Итог: реальная опасность от найденной уязвимости почти нулевая, хотя балл у нее высокий.
CVSS показывает, насколько «плохой» может быть уязвимость в вакууме. А вот насколько она «опасна» для вашего проекта — это уже вопрос анализа рисков, с которым могут помочь квалифицированные специалисты по информационной безопасности.
Поэтому важно не путать понятия и использовать CVSS как инструмент, а не как единственный критерий оценки угроз.
Оценка формируется на основе набора формул и метрик, которые можно условно разделить на несколько категорий:
Базовые — уязвимости в исходном состоянии, без учета временных факторов.
Временные — уязвимости с учетом времени, доступности эксплойтов и мер по устранению.
Влияние — уязвимости с учетом контекста использования системы и ее влияния на бизнес и другие факторы.
Специалисты могут использовать общедоступные калькуляторы уязвимостей, чтобы определить, оценить и приоритизировать риски: калькулятор ФСТЭК и калькулятор NIST.
Кто придумал систему CVSS
Система была разработана командой специалистов из крупнейших корпораций мира, таких как Cisco, Microsoft и других. Поддержкой и развитием стандарта занимается рабочая группа по безопасности при глобальном форуме реагирования на инциденты — FIRST (Forum of Incident Response and Security Teams).
Первая версия CVSS была выпущена в 2005 году. Последняя на сегодняшний день — версия 4.0, вышедшая в 2024 году.
Помимо CVSS, существуют и другие методологии оценки уязвимостей, а также их списки. Например, OWASP (в контексте оценки рисков веб-приложений) или CVE — база известных уязвимостей, используемая как источник данных для CVSS-оценки.
При проведении комплексного анализа уязвимости информационных систем, эксперты DDoS-Guard опираются на международные стандарты и классификации пентестов и других проверок. Они помогают выполнить требования законодательства РФ для объектов КИИ, защиты персональных данных и мерах обеспечения информационной безопасности.
Кто использует CVSS на практике
CVSS применяется не только специалистами по информационной безопасности, но и другими участниками ИТ-экосистемы:
1. Вендорами программного обеспечения
Разработчики и производители ПО используют CVSS, чтобы классифицировать уязвимости, обнаруженные в их продуктах.
Например, Microsoft присваивает каждой найденной уязвимости балл по шкале CVSS и публикует эту информацию в бюллетенях безопасности. Это помогает пользователям оценивать риски и решать, насколько срочно им требуется обновление.
2. Специалистами по информационной безопасности
CVSS помогает ИБ-командам определять приоритеты реагирования на уязвимости.
Например, если сканер уязвимостей найдет десятки проблем, CVSS-баллы помогут быстро отсеять низкоприоритетные и сосредоточиться на критичных угрозах (например, с баллом выше 9).
В результате сканирования сервис DDG VM предоставляет отчет, содержащий перечень всех обнаруженных уязвимостей с указанием их оценки по шкале CVSS. Для каждой уязвимости приведены ссылки на соответствующие записи в базах эксплойтов, где можно ознакомиться с подробной информацией об угрозе.
3. DevOps и SRE-команды
В командах, которые отвечают за работу сервисов и инфраструктуру, CVSS помогает решать, какие обновления ставить в первую очередь и как автоматизировать установку патчей.
Системы управления уязвимостями можно настроить так, чтобы они автоматически обновляли библиотеки или контейнеры, если в них найдены уязвимости с высоким CVSS-баллом.
4. Облачные платформы
Если вы работаете с такими сервисами, как GitHub, Docker, AWS, Google Cloud или используете дистрибутивы Linux, то CVSS уже влияет на ваш опыт:
- GitHub автоматически анализирует зависимости в проектах и показывает предупреждения об уязвимостях с оценкой CVSS.
- Docker помечает небезопасные образы на основе наличия в них уязвимостей с высоким CVSS.
- Облачные провайдеры выпускают обновления и рекомендации на основе этой оценки.
CVSS влияет на приоритет обновлений — крупнейшие производители ПО (например, Microsoft, Cisco, Adobe) приоритизируют выпуск патчей на основе CVSS-оценок. Уязвимости с оценкой выше 7.0 обычно получают критический приоритет устранения.
Даже если вы напрямую не используете CVSS, он влияет на экосистему ПО, обновления и безопасность, с которыми вы взаимодействуете ежедневно.
Если вы владелец бизнеса и у вас нет ИБ-образования, но это вам знать полезно
Несколько рекомендаций, которые введут вас в курс дела и помогут ориентироваться в контексте информационной безопасности и CVSS.
- Смотрите на цифры — например, CVSS 7+ говорит о том, что обновление откладывать не следует, а вот CVSS 9+ — это уже серьезный риск, особенно если эксплойт уже доступен.
- Помните, что не все баллы по шкале CVSS одинаково опасны, самое главное контекст — если уязвимость была найдена в компоненте, который у вас не используется, то можно выдохнуть.
- Не пренебрегайте автоматизацией. Современные сканеры и системы мониторинга умеют учитывать CVSS, а дальше главное — правильно реагировать на выявленные угрозы.
- Сохранность вашего бизнеса будет во многом зависеть от информационной безопасности. Увы, таковы реалии современного мира, где ущерб от действий хакеров может составлять миллионы рублей.
- Старайтесь самостоятельно изучать тренды кибербезопасности и читать новости по этой теме. Здесь работает простое правило — «предупрежден — значит вооружен».
CVSS интересует не только специалистов по безопасности, но и самих злоумышленников — они постоянно ищут новые способы взлома и улучшают свои навыки. Хакеры следят за рейтингами уязвимостей и часто добавляют самые высоко оцененные (по CVSS) уязвимости в свои автоматизированные инструменты взлома.
Диапазоны CVSS и что они значат для вашей безопасности
Чтобы понять, как интерпретировать числовые значения CVSS и что они означают на практике, рассмотрим таблицу с уровнями риска и примерами уязвимостей:
Диапазон CVSS | Уровень риска | Что значит | Примеры реальных уязвимостей |
0 | нет риска | не представляет угрозы | CVE-2017-14940 (логическая ошибка без последствий) |
1-4 | низкий | эксплуатация маловероятна или эффект минимальный | CVE-2020-25692 (нестабильный компонент Fedora) |
4-7 | средний | уязвимость может быть использована | CVE-2022-30190 (Follina, до массовой эксплуатации) |
7-9 | высокий | возможна удаленная атака, данные могут быть скомпрометированы | CVE-2021-44228 (Log4Shell) — на раннем этапе |
9-10 | критический | простая эксплуатация уязвимости и при этом серьезный ущерб от нее, часто с помощью удаленного кода без физического доступа или учетной записи | CVE-2021-44228 (Log4Shell), CVE-2017-0144 (EternalBlue) |
CVE-2021-44228 (Log4Shell) — критическая уязвимость в Log4j, позволяла выполнить произвольный код через лог-запись. CVSS: 10.
CVE-2017-0144 (EternalBlue) — использовалась в атаках WannaCry. CVSS: 8, но с эксплойтом в открытом доступе стала крайне опасной.
CVE-2022-30190 (Follina) — уязвимость в Windows/MS Office. CVSS: 7, позднее активно использовалась APT-группами.
Трендовые уязвимости 2025 года из базы NIST
Windows
Уязвимости с идентификаторами CVE-2024-38014 и CVE-2024-38217 позволяют злоумышленникам локально повышать свои привилегии до уровня SYSTEM, обходя защитный механизм Mark-of-the-Web, а уже после этого маскировать вредоносные объекты под легитимные файлы.
Veeam Backup & Replication
Уязвимость CVE-2024-40711 дает возможность неавторизованным пользователям удаленно использовать произвольный код — эти действия могут скомпрометировать сервер и нарушить всю ИТ-инфраструктуру.
VMware vCenter
Угроза под номером CVE-2024-38812 открывает путь к удаленному запуску кода без авторизации. В результате злоумышленники могут получить полный контроль над системой управления виртуализацией.
Веб-приложения
Уязвимости CVE-2024-37383 в Roundcube Webmail и CVE-2024-8275 в плагине The Events Calendar (для WordPress) позволяют злоумышленникам внедрять JavaScript-код, чтобы получить доступ к базе данных и скомпрометировать пользовательские аккаунты.
Вывод: зачем это бизнесу и ИТ-командам
Использование CVSS важно не только для технических специалистов, но и для бизнеса в целом. Оценка серьезности уязвимостей помогает правильно расставлять приоритеты при обновлении, устранять уязвимости до того, как ими воспользуются злоумышленники, снижать риски простоев, утечек данных и штрафов за несоблюдение требований по безопасности.
Если вы руководитель, то внедрение CVSS поможет принимать обоснованные решения о вложениях в кибербезопасность и управлении рисками. Автоматические сканеры на основе оценки уязвимостей повышают уровень зрелости ИБ-процессов и сокращают время реакции на инциденты.
