O CVSS \u00e9 um padr\u00e3o aberto para avaliar a gravidade das vulnerabilidades de seguran\u00e7a dos sistemas, que prop\u00f5e uma maneira de capturar as principais caracter\u00edsticas de uma vulnerabilidade e produzir uma pontua\u00e7\u00e3o num\u00e9rica que reflete sua gravidade e pode ser traduzida em uma representa\u00e7\u00e3o qualitativa. Ele foi desenvolvido por um Grupo de Interesse Especial (SIG) da organiza\u00e7\u00e3o\u00a0FIRST<\/a>\u00a0e passou por v\u00e1rias altera\u00e7\u00f5es ao longo do tempo. Seu objetivo \u00e9 poder comunicar e compartilhar detalhes sobre vulnerabilidades usando uma linguagem comum, melhorando a colabora\u00e7\u00e3o e o compartilhamento de informa\u00e7\u00f5es entre as organiza\u00e7\u00f5es no ecossistema de seguran\u00e7a cibern\u00e9tica.<\/p>\n O sistema consiste em tr\u00eas grupos de m\u00e9tricas: m\u00e9tricas\u00a0de base<\/b>, que s\u00e3o caracter\u00edsticas intr\u00ednsecas de uma vulnerabilidade; m\u00e9tricas\u00a0temporais<\/b>, que s\u00e3o caracter\u00edsticas que mudam com o tempo; e m\u00e9tricas\u00a0ambientais<\/b>, que s\u00e3o caracter\u00edsticas espec\u00edficas de um determinado ambiente.<\/p>\n \n \n Uma longa hist\u00f3ria<\/span><\/p>\n O CVSS teve uma longa jornada at\u00e9 a vers\u00e3o atual. Tudo come\u00e7ou em 2003, quando o National Infrastructure Advisory Council (NIAC) do governo dos EUA iniciou a pesquisa que levou ao lan\u00e7amento da vers\u00e3o 1 (CVSSv1) em 2005, com o objetivo de criar uma classifica\u00e7\u00e3o de gravidade aberta e universalmente padronizada para vulnerabilidades de software. Na verdade, a vers\u00e3o inicial n\u00e3o foi submetida \u00e0 revis\u00e3o por pares nem \u00e0 revis\u00e3o por outras organiza\u00e7\u00f5es, o que impediu que ela obtivesse validade cient\u00edfica. Por esse motivo, o NIAC selecionou o FIRST (Forum of Incident Response and Security Teams) para sua manuten\u00e7\u00e3o e desenvolvimento futuro.<\/p>\n O feedback e o retorno das empresas e dos profissionais que usavam o CVSSv1 na produ\u00e7\u00e3o sugeriram que ele n\u00e3o era suficientemente adequado, portanto, no mesmo ano de seu lan\u00e7amento, foi iniciado o trabalho na vers\u00e3o 2 (CVSSv2), que foi publicada em 2007. No entanto, a comunidade que migrou para o uso do CVSSv2 apontou a falta de granularidade em v\u00e1rias m\u00e9tricas, o que resultou em pontua\u00e7\u00f5es que n\u00e3o distinguiam adequadamente as vulnerabilidades de diferentes tipos e perfis de risco, al\u00e9m de exigir muito conhecimento do impacto, o que reduziu sua precis\u00e3o. Essas e outras cr\u00edticas levaram ao lan\u00e7amento da vers\u00e3o 3 (CVSSv3) em 2015, ap\u00f3s 3 anos de trabalho. Tudo parecia estar resolvido, mas o aprimoramento cont\u00ednuo tinha de continuar, e o CVSSv3 ainda apresentava pontos fracos para a pontua\u00e7\u00e3o de vulnerabilidades em sistemas emergentes, como a Internet das Coisas (IoT) e outros, portanto, uma atualiza\u00e7\u00e3o para a vers\u00e3o 3.1 foi lan\u00e7ada em 2019.<\/p>\n Essa vers\u00e3o, embora altamente refinada e madura, recebeu v\u00e1rias cr\u00edticas muito espec\u00edficas, como o fato de a pontua\u00e7\u00e3o b\u00e1sica ter sido usada como a principal entrada para a an\u00e1lise de risco, de n\u00e3o representar detalhes suficientes em tempo real sobre amea\u00e7as e impactos suplementares, de ser aplic\u00e1vel somente a sistemas de TI (n\u00e3o representando sistemas como sa\u00fade, seguran\u00e7a humana e controle industrial). Tamb\u00e9m foi criticado o fato de que as pontua\u00e7\u00f5es publicadas pelos fornecedores eram frequentemente altas ou cr\u00edticas, que a granularidade era insuficiente (menos de 99 pontua\u00e7\u00f5es discretas) e que as m\u00e9tricas temporais n\u00e3o influenciavam efetivamente a pontua\u00e7\u00e3o final. Al\u00e9m disso, foi frequentemente apontado que a f\u00f3rmula e as contas eram complicadas e contra-intuitivas.<\/p>\n E assim chegamos a junho de 2023, quando a vers\u00e3o preliminar 4 foi lan\u00e7ada para consulta p\u00fablica, que se encerra em 31 de julho, enquanto a publica\u00e7\u00e3o oficial ocorrer\u00e1 no \u00faltimo trimestre do ano.<\/p>\n \n \n Novos recursos<\/span><\/p>\n A vers\u00e3o 4 do CVSS faz altera\u00e7\u00f5es substanciais no sistema, portanto, deve ser totalmente compreendida para que possa ser usada. Seus novos recursos incluem os mencionados abaixo.<\/p>\n Para enfatizar que o CVSS n\u00e3o \u00e9 apenas a pontua\u00e7\u00e3o b\u00e1sica, foi adotada uma nova nomenclatura para identificar as combina\u00e7\u00f5es do grupo Base. S\u00e3o elas: CVSS-B para pontua\u00e7\u00e3o b\u00e1sica, CVSS-BT para pontua\u00e7\u00e3o b\u00e1sica mais pontua\u00e7\u00e3o de amea\u00e7a, CVSS-BE para pontua\u00e7\u00e3o b\u00e1sica mais ambiental e CVSS-BTE para pontua\u00e7\u00e3o b\u00e1sica mais amea\u00e7a mais ambiental.<\/p>\n \n \n O grupo de m\u00e9tricas tempor\u00e1rias foi renomeado como grupo de m\u00e9tricas de amea\u00e7as, o que envolve m\u00e9tricas de amea\u00e7as simplificadas e esclarecidas, a remo\u00e7\u00e3o do n\u00edvel de corre\u00e7\u00e3o (RL) e da confian\u00e7a do relat\u00f3rio (RC) e a renomea\u00e7\u00e3o da “maturidade do c\u00f3digo de explora\u00e7\u00e3o” para Maturidade da explora\u00e7\u00e3o (E) com valores mais claros. A ideia \u00e9 ajustar a pontua\u00e7\u00e3o Base do “pior caso razo\u00e1vel” usando a intelig\u00eancia de amea\u00e7as para reduzir a pontua\u00e7\u00e3o CVSS-BTE, abordando a preocupa\u00e7\u00e3o de que muitas pontua\u00e7\u00f5es CVSS (Base) s\u00e3o muito altas.<\/p>\n A nova m\u00e9trica “Attack Requirements” (Requisitos de ataque) tem como objetivo resolver o problema da falta de reflex\u00e3o das condi\u00e7\u00f5es de alta complexidade nos valores de complexidade “baixa” e “alta”. Portanto, a defini\u00e7\u00e3o foi dividida em duas m\u00e9tricas, denominadas “Attack Complexity” (AC) e “Attack Requirements” (AT), que transmitem respectivamente o seguinte: a primeira reflete a complexidade de engenharia da explora\u00e7\u00e3o necess\u00e1ria para evadir ou contornar tecnologias defensivas ou de aprimoramento da seguran\u00e7a (medidas defensivas) e a segunda reflete as condi\u00e7\u00f5es pr\u00e9vias do componente vulner\u00e1vel que tornam o ataque poss\u00edvel.<\/p>\n A m\u00e9trica “intera\u00e7\u00e3o do usu\u00e1rio” foi atualizada para permitir maior granularidade ao considerar a intera\u00e7\u00e3o de um usu\u00e1rio com um componente vulner\u00e1vel, e tem tr\u00eas op\u00e7\u00f5es: Nenhuma (N), quando o sistema pode ser explorado sem nenhuma intera\u00e7\u00e3o do usu\u00e1rio humano al\u00e9m do atacante; Passiva (P), quando a explora\u00e7\u00e3o exige intera\u00e7\u00e3o limitada do usu\u00e1rio-alvo com o componente vulner\u00e1vel e o payload do atacante (intera\u00e7\u00f5es n\u00e3o intencionais); e Ativa (A), quando a explora\u00e7\u00e3o exige que o usu\u00e1rio realize intera\u00e7\u00f5es espec\u00edficas e conscientes.<\/p>\n A m\u00e9trica “Escopo” foi abandonada, e dizem que foi a m\u00e9trica menos compreendida da hist\u00f3ria, porque causou uma pontua\u00e7\u00e3o inconsistente entre os fornecedores de produtos e implicou em uma “compress\u00e3o com perdas” dos impactos dos sistemas vulner\u00e1veis. Como solu\u00e7\u00e3o, as m\u00e9tricas de impacto foram expandidas em dois conjuntos para avalia\u00e7\u00e3o expl\u00edcita: Confidencialidade (VC), Integridade (VI) e Disponibilidade (VA) do sistema vulner\u00e1vel; e Confidencialidade (SC), Integridade (SI) e Disponibilidade (SA) dos sistemas afetados.<\/p>\n Um novo conjunto de m\u00e9tricas suplementares foi incorporado para transmitir atributos extr\u00ednsecos adicionais de uma vulnerabilidade que n\u00e3o afetam a pontua\u00e7\u00e3o final do CVSS-BTE: Seguran\u00e7a F\u00edsica e Humana (S), Automatiz\u00e1vel (A), Recuperabilidade (R), Densidade de Valor (V), Esfor\u00e7o de Resposta (RE) e Urg\u00eancia do Provedor (U). O consumidor da informa\u00e7\u00e3o pode usar os valores dessas m\u00e9tricas para tomar medidas adicionais, se desejar, aplicando a import\u00e2ncia local, com a ideia de que nenhuma define o impacto num\u00e9rico na pontua\u00e7\u00e3o final do CVSS. As organiza\u00e7\u00f5es podem atribuir import\u00e2ncia e\/ou impacto efetivo a cada m\u00e9trica (ou conjunto de m\u00e9tricas), atribuindo mais, menos ou nenhum efeito na an\u00e1lise de risco final. As m\u00e9tricas e os valores simplesmente transmitem caracter\u00edsticas extr\u00ednsecas adicionais da pr\u00f3pria vulnerabilidade.<\/p>\n A m\u00e9trica “Automatable” (Automatiz\u00e1vel) captura a resposta sobre se um invasor pode automatizar a explora\u00e7\u00e3o dessa vulnerabilidade em v\u00e1rios alvos com base nas primeiras quatro fases da Kill Chain (reconhecimento, armamento, entrega e explora\u00e7\u00e3o). A m\u00e9trica “Recupera\u00e7\u00e3o” descreve a resili\u00eancia de um componente ou sistema para recuperar servi\u00e7os, em termos de desempenho e disponibilidade, ap\u00f3s a ocorr\u00eancia de um ataque. A “densidade de valor” descreve os recursos sobre os quais o invasor obter\u00e1 controle com um \u00fanico evento de explora\u00e7\u00e3o e tem dois valores poss\u00edveis: difuso e concentrado.<\/p>\n A m\u00e9trica “Esfor\u00e7o de resposta \u00e0 vulnerabilidade” fornece informa\u00e7\u00f5es adicionais sobre a dificuldade que os consumidores t\u00eam de responder inicialmente ao impacto das vulnerabilidades em seus produtos e servi\u00e7os de infraestrutura. Assim, o consumidor pode levar em conta essas informa\u00e7\u00f5es adicionais sobre o esfor\u00e7o necess\u00e1rio ao aplicar mitiga\u00e7\u00f5es ou programar a corre\u00e7\u00e3o. Por fim, a m\u00e9trica “Supplier Urgency” (Urg\u00eancia do fornecedor) busca facilitar um m\u00e9todo padronizado para incorporar uma avalia\u00e7\u00e3o adicional fornecida pelo provedor, que pode ser qualquer agente da cadeia de suprimentos, embora o mais pr\u00f3ximo do consumidor esteja em uma posi\u00e7\u00e3o melhor para fornecer essas informa\u00e7\u00f5es espec\u00edficas.<\/p>\n \n \n Outros sistemas de pontua\u00e7\u00e3o tamb\u00e9m foram introduzidos e adotados para abordar aspectos complementares da avalia\u00e7\u00e3o de vulnerabilidade e da prioriza\u00e7\u00e3o de corre\u00e7\u00f5es. Esses s\u00e3o dois acr\u00e9scimos \u00e0 pontua\u00e7\u00e3o de vulnerabilidade, que fornecem algum recurso de previs\u00e3o e suporte \u00e0 decis\u00e3o. O primeiro \u00e9 o\u00a0EPSS<\/a>\u00a0(Exploit Prediction Scoring System), um sistema de pontua\u00e7\u00e3o de previs\u00e3o de explora\u00e7\u00e3o, que \u00e9 um esfor\u00e7o orientado por dados para estimar a probabilidade de uma vulnerabilidade de software ser explorada em 30 dias. O segundo \u00e9 o\u00a0SSVC<\/a>\u00a0(Stakeholder-Specific Vulnerability Categorisation), uma categoriza\u00e7\u00e3o de vulnerabilidade espec\u00edfica das partes interessadas, que \u00e9 um sistema de \u00e1rvore de decis\u00e3o para priorizar a\u00e7\u00f5es durante o gerenciamento de vulnerabilidades.<\/p>\n A era OT no CVSS<\/span><\/p>\n Um dos acr\u00e9scimos mais not\u00e1veis a essa vers\u00e3o \u00e9 o novo foco na tecnologia operacional (OT) por meio de m\u00e9tricas e valores de seguran\u00e7a f\u00edsica e humana (Safety). Atualmente, muitas vulnerabilidades t\u00eam impactos fora da tradicional tr\u00edade C\/I\/A de impacto l\u00f3gico. H\u00e1 uma preocupa\u00e7\u00e3o crescente de que, embora os impactos l\u00f3gicos possam ou n\u00e3o ser reconhecidos em um sistema vulner\u00e1vel ou afetado, \u00e9 poss\u00edvel que ocorram danos tang\u00edveis aos seres humanos como resultado da explora\u00e7\u00e3o de uma vulnerabilidade. Os setores de IoT, ICS (Industrial Control Systems, sistemas de controle industrial) e sa\u00fade, em particular, est\u00e3o muito preocupados em poder identificar esse tipo de impacto para ajudar a priorizar os problemas alinhados com suas crescentes preocupa\u00e7\u00f5es.<\/p>\n Isso \u00e9 feito por meio da an\u00e1lise dos valores de seguran\u00e7a ambiental fornecidos pelo consumidor e pelo fornecedor. No primeiro caso, quando um sistema n\u00e3o tem uso ou finalidade pretendidos diretamente alinhados com a seguran\u00e7a f\u00edsica, mas pode ter implica\u00e7\u00f5es de seguran\u00e7a f\u00edsica em uma quest\u00e3o de como ou onde \u00e9 implantado, \u00e9 poss\u00edvel que a explora\u00e7\u00e3o de uma vulnerabilidade nesse sistema possa ter impactos de seguran\u00e7a f\u00edsica e humana que podem ser representados no grupo de m\u00e9tricas ambientais. Esse valor mede o impacto em um ator ou participante humano que pode ser ferido como resultado de uma vulnerabilidade. Diferentemente de outros valores de m\u00e9tricas de impacto, a seguran\u00e7a f\u00edsica s\u00f3 pode ser associada ao conjunto “Impactar sistemas subsequentes” e deve ser considerada al\u00e9m dos valores de impacto das m\u00e9tricas de disponibilidade e integridade. Em “Modified Subsequent System Integrity: Seguran\u00e7a F\u00edsica” (MSI:S), a explora\u00e7\u00e3o compromete a integridade do sistema vulner\u00e1vel (por exemplo, altera\u00e7\u00e3o na dosagem de um dispositivo m\u00e9dico), resultando em um impacto na sa\u00fade e na seguran\u00e7a humana. Em “Disponibilidade do sistema subsequente modificado: seguran\u00e7a f\u00edsica” (MSA:S), a explora\u00e7\u00e3o compromete a disponibilidade do sistema vulner\u00e1vel (por exemplo, indisponibilidade do sistema de freios de um ve\u00edculo), resultando em um impacto na sa\u00fade e na seguran\u00e7a humanas.<\/p>\n Por outro lado, temos a seguran\u00e7a suplementar fornecida pelo fornecedor, que se aplica quando um sistema tem um uso pretendido alinhado \u00e0 seguran\u00e7a, de modo que \u00e9 poss\u00edvel que a explora\u00e7\u00e3o de uma vulnerabilidade possa ter um impacto na seguran\u00e7a f\u00edsica, que pode ser representada no grupo de m\u00e9tricas suplementares. Seus valores poss\u00edveis s\u00e3o: Presente (P), quando as consequ\u00eancias da vulnerabilidade atendem \u00e0 defini\u00e7\u00e3o das categorias de consequ\u00eancias da IEC 61.508 de “marginal”, “cr\u00edtica” ou “catastr\u00f3fica”; Negligenci\u00e1vel (N), quando as consequ\u00eancias da vulnerabilidade atendem \u00e0 defini\u00e7\u00e3o da categoria de consequ\u00eancias da mesma norma de “insignificante”; e N\u00e3o definido (X), quando o valor n\u00e3o foi definido para essa vulnerabilidade. Deve-se observar que os fornecedores n\u00e3o s\u00e3o obrigados a fornecer m\u00e9tricas suplementares, e elas podem ser fornecidas conforme necess\u00e1rio, com base apenas no que o fornecedor decidir comunicar em cada caso.<\/p>\n \n \n A f\u00f3rmula do sistema<\/span><\/p>\n A matem\u00e1tica por tr\u00e1s do c\u00e1lculo no sistema CVSS foi criticada por muito tempo at\u00e9 a vers\u00e3o 3.1, portanto, um dos aspectos mais interessantes \u00e9 o desenvolvimento de um novo sistema de pontua\u00e7\u00e3o, que consistia em um processo relativamente complexo em compara\u00e7\u00e3o com a forma (mais duvidosa) como era feito antes. O processo come\u00e7ou pegando os 15 milh\u00f5es de vetores CVE-BTE em 270 conjuntos de equival\u00eancia, pedindo aos especialistas que comparassem os vetores que representavam cada um deles, calculando uma ordem de vetores do menos grave para o mais grave e, novamente, pedindo a opini\u00e3o de especialistas para decidir qual grupo representa o limite entre as pontua\u00e7\u00f5es de gravidade qualitativa para ser compat\u00edvel com os limites de pontua\u00e7\u00e3o de gravidade qualitativa do CVSS v3.x. Os grupos de vetores em cada intervalo de gravidade qualitativa foram ent\u00e3o compactados na pontua\u00e7\u00e3o desse intervalo (por exemplo, 9 a 10 para cr\u00edtico, 7 a 8,9 para alto etc.) e foi criado um fator de modifica\u00e7\u00e3o que ajusta as pontua\u00e7\u00f5es em um grupo de vetores de modo que uma altera\u00e7\u00e3o em qualquer valor de m\u00e9trica resulte em uma altera\u00e7\u00e3o na pontua\u00e7\u00e3o. A inten\u00e7\u00e3o \u00e9 que a altera\u00e7\u00e3o da pontua\u00e7\u00e3o n\u00e3o seja maior do que a incerteza na classifica\u00e7\u00e3o dos grupos de vetores, conforme coletado nos dados de compara\u00e7\u00e3o.<\/p>\n Como nas vers\u00f5es anteriores, uma calculadora on-line est\u00e1 dispon\u00edvel para facilitar a visualiza\u00e7\u00e3o dos atributos de cada grupo de m\u00e9tricas e tamb\u00e9m serve como um recurso did\u00e1tico para projetar cen\u00e1rios simulados que precisam ser quantificados.<\/p>\n \n \n Vulnerabilidades versus riscos<\/span><\/p>\n Outra quest\u00e3o que foi levantada como uma desvantagem na aplica\u00e7\u00e3o potencialmente leve ou descontextualizada do CVSS \u00e9 a gravidade t\u00e9cnica versus risco. Por um lado, as pontua\u00e7\u00f5es do CVSS Base (CVSS-B) representam a gravidade em n\u00edvel t\u00e9cnico, levam em conta apenas os atributos da pr\u00f3pria vulnerabilidade e n\u00e3o s\u00e3o recomendadas para serem usadas isoladamente para determinar a prioridade de corre\u00e7\u00e3o. Por outro lado, o risco pode ser analisado com os atributos completos do CVSS-BTE (pontua\u00e7\u00e3o b\u00e1sica, amea\u00e7a associada e controles ambientais), de modo que, se usadas corretamente, essas pontua\u00e7\u00f5es podem representar com mais precis\u00e3o o conjunto completo de atributos para as pontua\u00e7\u00f5es de risco, at\u00e9 mesmo mais do que algumas metodologias.<\/p>\n Por fim, vale a pena observar que o FIRST recomenda v\u00e1rias pr\u00e1ticas para o uso adequado do CVSS. Em primeiro lugar, o uso de fontes e bancos de dados para automatizar o enriquecimento das informa\u00e7\u00f5es de vulnerabilidade, como o NVD (National Vulnerability Database) para m\u00e9tricas de base, o banco de dados de ativos para m\u00e9tricas ambientais e a intelig\u00eancia de amea\u00e7as para m\u00e9tricas de amea\u00e7as. Tamb\u00e9m prop\u00f5e encontrar maneiras de visualizar as informa\u00e7\u00f5es de vulnerabilidade de acordo com atributos e pontos de vista importantes, como equipes de suporte, aplicativos cr\u00edticos, vis\u00e3o interna versus externa, unidades de neg\u00f3cios ou requisitos normativos.<\/p>\n Conclus\u00f5es<\/span><\/p>\n A vers\u00e3o 4 do CVSS traz consigo um n\u00edvel muito alto de maturidade em rela\u00e7\u00e3o \u00e0s suas antecessoras. Se a inten\u00e7\u00e3o fosse chegar a esse ponto muito antes, talvez n\u00e3o fosse uma op\u00e7\u00e3o v\u00e1lida, pois as comunidades, as organiza\u00e7\u00f5es e os profissionais tiveram que crescer com os lan\u00e7amentos e com as exig\u00eancias do setor. A responsabilidade da FIRST ao publicar esse tipo de trabalho \u00e9 excessivamente grande, considerando os v\u00e1rios ambientes em que o sistema de pontua\u00e7\u00e3o \u00e9 usado e, apesar das cr\u00edticas \u00e0s vers\u00f5es anteriores, eles sempre conseguiram fazer um trabalho adequado \u00e0 necessidade do momento.<\/p>\n <\/p>\n \u2981 Apresenta\u00e7\u00e3o do CVSSv4 na FIRST Conference 2023![](\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_45a.png\")
<\/center><\/p>\n![](\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_45b.png\")
<\/center><\/p>\n![](\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_45c.png\")
<\/center><\/p>\n![](\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_45d.png\")
<\/center><\/p>\n![](\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_45e.png\")
<\/center><\/p>\n![](\"https:\/\/wwww.base4sec.com\/assets\/images\/blog\/nota_45f.png\")
<\/center><\/p>\nRefer\u00eancias<\/h5>\n<\/div>\n
\nhttps:\/\/www.first.org\/cvss\/v4-0\/cvss-v40-presentation.pdf<\/a><\/p>\n