CVSS
(Common Vulnerability Scoring System) זו מערכת סטנדרטית שמטרתה לדרג את החומרה של פגיעויות אבטחה בתוכנות, חומרה ומערכות. הרעיון הוא ליצור שפה משותפת שמאפשרת לאנשי אבטחת מידע ולארגונים להבין במהירות כמה חמורה כל פגיעות וכיצד לטפל בה.
איך CVSS עובד?
המערכת נותנת ציון מספרי לפגיעות, בדרך כלל בטווח של 0 עד 10, כאשר 10 מציין את החומרה הגבוהה ביותר. הציון מחושב על בסיס כמה גורמים עיקריים:
Base Score (ציון שורשי):
Vector Metrics: אלה מדדים קבועים שמתייחסים למאפיינים הבסיסיים של הפגיעות, כגון:
Attack Vector: האם ניתן לנצל את הפגיעות מרחוק או שדרושה גישה מקומית?
Attack Complexity: האם קל לנצל את הפגיעות או שזה דורש תנאים מיוחדים?
Privileges Required: האם התוקף צריך הרשאות מסוימות כדי לנצל את הפגיעות?
User Interaction: האם נדרש שהמשתמש יבצע פעולה כדי שהפגיעות תנוצל?
Impact: כמה חמורה ההשפעה (על סודיות, שלמות וזמינות המידע).
Temporal Score (ציון זמני):
מתחשב בנתונים דינמיים כמו האם קיים exploit ידוע, האם יש תיקון זמין, והאם המידע על הפגיעות מאומת.
Environmental Score (ציון סביבתי):
מתייחס למאפיינים ספציפיים של הסביבה שבה נמצאת הפגיעות, כמו החשיבות של המערכת שנפגעה לארגון מסוים, ואמצעי ההגנה הקיימים.
דוגמה פשוטה
נניח שיש פגיעות שמאפשרת לתוקף מרוחק (ללא הרשאות) להשתלט על שרת. הפגיעות פוגעת בסודיות ובזמינות המידע, והיא קלה לניצול. במקרה כזה, הציון הבסיסי יהיה גבוה (למשל 9.8), מה שמצביע על כך שזו פגיעות חמורה מאוד שמצריכה תיקון מיידי.
מה זה CIA Triad?
ה-CIA Triad הוא מודל בסיסי באבטחת מידע שמורכב משלושת העקרונות הבאים:
Confidentiality (סודיות): שמירה על מידע חסוי כך שרק מי שמורשה יכול לגשת אליו
Integrity (שלמות): הבטחה שהמידע לא ישתנה או יפגע ללא הרשאה
Availability (זמינות): הבטחה שהמידע והשירותים יהיו זמינים למשתמשים מורשים כשהם צריכים אותם
הקשר בין CVSS ו-CIA Triad
כשמעריכים פגיעות עם CVSS, מסתכלים על ההשפעה שלה על כל אחד ממרכיבי ה-CIA Triad, כדי להבין את רמת הסיכון הכוללת.
CVSS- למה זה חשוב?
תעדוף תיקונים: ארגונים יכולים להחליט אילו פגיעויות לתקן קודם.
תקשור אחיד: נותן דרך אחידה לתקשר חומרה של פגיעויות בין ארגונים ואנשי אבטחה.
הערכת סיכונים: מאפשר להבין במהירות את רמת הסיכון ולהגיב בהתאם.
הערה: CVE ו־CVSS הם שני מושגים קשורים אך שונים בעולם אבטחת המידע.
מה זה CVE?
CVE (Common Vulnerabilities and Exposures) הוא מאגר מזהים ייחודיים לחולשות אבטחה מוכרות. כל CVE הוא למעשה מספר זיהוי ייחודי שניתן לפגיעות אבטחה כדי להגדיר אותן באופן ברור ושאינו משתמע לשתי פנים.
לדוגמה: CVE-2024-12345 יהיה מזהה ייחודי לפגיעות מסוימת, וניתן למצוא עליו מידע מפורט במאגרים ציבוריים כמו אתר ה־NVD (National Vulnerability Database) וגם באתר cvedetails.com.
איך CVE מתקשר ל־CVSS?
CVE מספק זיהוי ייחודי ותיאור של הפגיעות, אבל לא נותן דירוג חומרה או פרטים על ההשפעה.
CVSS משמש כדי לתת ציון כמותי לפגיעות המתוארת ב־CVE, כך שאפשר להבין כמה חמורה הפגיעות וכיצד להתמודד איתה.
תהליך אופייני:
גילוי פגיעות: חוקרים או אנשי אבטחה מגלים פגיעות חדשה.
הקצאת מזהה CVE: הפגיעות מקבלת מזהה CVE ייחודי שמתאר אותה.
הערכת חומרה עם CVSS: הפגיעות מוערכת לפי קריטריונים של CVSS כדי לקבוע את חומרתה.
פרסום ודיווח: המידע על הפגיעות, כולל מזהה CVE והציון CVSS, מתפרסם במאגרים ציבוריים, וכך כולם יכולים לגשת למידע אחיד ומהימן.
דוגמה:
נניח שנמצאה חולשה חדשה בדפדפן מסוים. החולשה מקבלת מזהה CVE-2025-6789. לאחר בדיקה, נקבע שהפגיעות הזו קלה לניצול מרחוק, פוגעת בזמינות ובסודיות, ולכן מקבלת ציון CVSS גבוה, למשל 9.0. כך, אנשי אבטחה יודעים שזו פגיעות חמורה שדורשת טיפול מיידי.
