Wat is CVSS (Common Vulnerability Scoring System)?

Common Vulnerability Scoring System, kortweg CVSS, is een open framework dat zich bezighoudt met de beoordeling en rangschikking van de ernst van beveiligingskwetsbaarheden. In dit verband worden de scores van CVSS meestal gebruikt voor risicobeperkende activiteiten door cybersecurityprofessionals. CVSS-scores worden geschaald tussen 0 en 10 om het niveau van kwetsbaarheid te bepalen. In een rapport uit 2023 werd geschat dat ongeveer 93% van de nieuw gemelde kwetsbaarheden niet wordt geanalyseerd door de National Vulnerability Database (NVD), waardoor een verbazingwekkend groot aantal waarschijnlijk voor wapens gebruikte kwetsbaarheden met openbaar beschikbare proof-of-concept-exploits onbeheerd blijft.

Deze kloof onderstreept hoe essentieel het is om een gemeenschappelijk kwetsbaarheidsscoresysteem te hebben, waarmee organisaties een consistente aanpak kunnen hanteren voor het beoordelen en prioriteren van dergelijke kwetsbaarheden en op basis daarvan een veel proactievere houding kunnen aannemen ten opzichte van nieuw opkomende bedreigingen.

In deze blogpost gaan we dieper in op het gemeenschappelijke scoresysteem voor kwetsbaarheden. We leggen ook het scoresysteem voor kwetsbaarheden uit, de basis voor het berekenen van een CVSS-score, bekijken de CVSS-calculator en vergelijken deze met andere systemen die ondersteuning bieden voor effectief kwetsbaarheidsbeheer. Aan het einde beschikt u over de informatie die u nodig hebt om de cyberbeveiliging van uw organisatie te verbeteren.

Wat is CVSS (Common Vulnerability Scoring System)?

CVSS, of Common Vulnerability Scoring System, is een gestandaardiseerd systeem dat wordt gebruikt voor de evaluatie en communicatie van de kwetsbaarheid van software. Het bevat een numerieke score van 0 tot 10, waarbij geldt dat hoe hoger de waarde, hoe ernstiger de kwetsbaarheid is. Het CVSS werd in 2005 gelanceerd door de National Infrastructure Advisory Council (NIAC) in 2005 gelanceerd als CVSS 1.0. Later koos de NIAC het Forum of Incident Response and Security Teams, beter bekend als FRONT, om de toekomstige ontwikkelingen van CVSS te begeleiden.

CVSS heeft drie metrische groepen: basis, tijdelijk en omgeving. Deze metrieken helpen organisaties om verschillende aspecten van een kwetsbaarheid in kaart te brengen, zoals de exploiteerbaarheid, de verspreiding ervan in systemen en de mitigatie ervan in verschillende omgevingen. Door deze gestructureerde aanpak stelt CVSS organisaties in staat om kwetsbaarheden efficiënter aan te pakken en maakt het mogelijk om patches of mitigatiestrategieën te prioriteren op basis van de waarschijnlijke impact die elke fout zou hebben.

Waarom is CVSS belangrijk voor kwetsbaarheidsbeheer?

CVSS speelt een belangrijke rol in kwetsbaarheidsbeheer en helpt organisaties om kwetsbaarheden systematisch te beoordelen en te prioriteren. Effectief gebruik van CVSS zorgt dus voor de algehele veiligheid van een organisatie, waar de middelen worden ingezet op basis van hun behoeften. Hieronder staan enkele factoren die het belang van CVSS voor kwetsbaarheidsbeheer weerspiegelen:

1. Platformoverschrijdende standaardisatie: Organisaties die grote IT-omgevingen beheren, hebben behoefte aan het uniforme scoresysteem dat CVSS biedt voor het beoordelen van kwetsbaarheden op verschillende platforms en systemen. Dankzij standaardscores kunnen alle kwetsbaarheden volgens dezelfde criteria worden beoordeeld, wat een solide basis vormt voor besluitvorming.
2. Concentreer u op eerdere zwakke punten: CVSS stelt beveiligingsteams in staat om kwetsbaarheden te prioriteren op basis van een uniforme ernstmaatstaf. Dit neemt subjectieve vooringenomenheid weg en stelt IT-teams in staat om zich eerst te concentreren op de meest kritieke kwetsbaarheden. Volgens een rapport beheerde 71% van de organisaties kwetsbaarheden intern, maar slechts 30% beschouwde hun programma's als zeer effectief. Het is bemoedigend dat 44% van plan is om meer te investeren in oplossingen voor kwetsbaarheidsbeheer, met als doel de beveiliging te versterken.
3. Automatiseert beveiligingsprocessen: De CVSS-score wordt meestal verstrekt door geautomatiseerde tools die worden gebruikt bij kwetsbaarheidsbeheer. Dergelijke automatiseringstools bepalen automatisch de prioriteiten voor het toepassen van patches of het nemen van mitigerende maatregelen, waardoor de tijd die nodig is om patches toe te passen en mogelijke menselijke fouten tot een minimum worden beperkt. CVSS maakt een mate van automatisering mogelijk die handmatige risicobeoordeling tot een minimum beperkt, wat op zijn beurt de reactiesnelheid versnelt.
4. Betere communicatie met belanghebbenden: CVSS biedt een gemeenschappelijke taal voor het bespreken van kwetsbaarheden, waardoor IT- en ontwikkelingsteams hun werk op de juiste manier kunnen communiceren met niet-technische belanghebbenden. Een gedeeld begrip zorgt ervoor dat iedereen die zich bezighoudt met kwetsbaarheidsbeheer zich bewust is van dezelfde kwesties, zodat middelen op de juiste manier kunnen worden toegewezen en beveiligingsinitiatieven gemakkelijker kunnen worden gerechtvaardigd.
5. Naleving van wettelijke vereisten: Het gebruik van CVSS vergemakkelijkt de naleving van regelgevingsnormen zoals GDPR, PCI-DSS of CCPA door organisaties in staat te stellen aan te tonen dat ze proactief omgaan met kwetsbaarheden. De meeste regelgevingsomgevingen vereisen proactief kwetsbaarheidsbeheer en CVSS biedt de nodige transparantie om aan te tonen dat de beste praktijken op het gebied van beveiliging worden gevolgd. Nalevingsaudits kunnen worden vereenvoudigd wanneer kwetsbaarheden worden geanalyseerd en geprioriteerd met behulp van een gemeenschappelijk, geaccepteerd systeem zoals CVSS.
6. Weloverwogen beslissingen over patchbeheer: Kwetsbaarheden met hoge scores moeten eerst worden aangepakt, zodat de middelen worden ingezet om de grootste risico's te beperken. Uit een enquête bleek dat 62% van de organisaties zich niet bewust was van hun kwetsbaarheden voordat ze te maken kregen met een datalek, wat onderstreept dat er een kritieke behoefte is aan effectief en weloverwogen patchbeheer. Door kwetsbaarheden proactief aan te pakken, kunnen organisaties het risico op inbreuken aanzienlijk verminderen en hun algehele beveiligingspositie versterken.

CVSS vergeleken met andere kwetsbaarheidsscoresystemen

Met de beschikbaarheid van verschillende kwetsbaarheidsscoresystemen die zijn afgestemd op specifieke sectoren of gebruikssituaties, wordt het voor organisaties erg moeilijk om een keuze te maken en er één te selecteren. In het volgende gedeelte vergelijken we daarom de verschillen tussen het gangbare kwetsbaarheidsscoresysteem en andere populaire scoresystemen, waarbij we hun unieke kenmerken en toepassingen belichten.

Uit deze vergelijkingen komt CVSS duidelijk naar voren als een standaard die in meerdere sectoren wordt toegepast. CVSS is ontworpen voor brede toepassing en kan kwetsbaarheden beoordelen met een ongeëvenaarde aanpasbaarheid in zowel traditionele IT-systemen als moderne cloudgebaseerde omgevingen. Daarentegen is de OWASP Risk Rating Methodology voornamelijk gericht op webapplicaties en meer gebaseerd op subjectieve beoordelingen op basis van potentiële risico's en impact.

Hoewel het eigen kwetsbaarheidsscoresysteem van Microsoft effectief is binnen de Windows-omgeving, biedt het niet de universele toepasbaarheid die CVSS biedt. Voor organisaties met heterogene IT-infrastructuren biedt CVSS de flexibiliteit om kwetsbaarheden consistent te evalueren op verschillende platforms. De uitgebreide meetcriteria zorgen voor een zeer gedetailleerde beoordeling, waardoor organisaties een vollediger inzicht krijgen in de totale risico's die aan elke kwetsbaarheid verbonden zijn.

CVSS versus CVE

Nu we de verschillen met andere kwetsbaarheidsscoresystemen kennen, kunnen weCVSS eens vergelijken met Common Vulnerabilities and Exposures of CVE's. Het belangrijkste verschil tussen CVSS en CVE ligt in hun doel binnen kwetsbaarheidsbeheer. CVE biedt een lijst van algemeen bekende kwetsbaarheden met unieke identificatiecodes, terwijl CVSS een scoresysteem biedt om de ernst van deze kwetsbaarheden te beoordelen. Laten we dit in detail bekijken aan de hand van een tabel:

Uit bovenstaande tabel blijkt duidelijk dat CVE fungeert als een kwetsbaarheidsdatabase en aan elke geïdentificeerde kwetsbaarheid een identificatiecode toekent. Hierdoor is het mogelijk om kwetsbaarheden tussen platforms en sectoren te volgen en te delen. CVSS biedt aanvullende context door de informatie van CVS te gebruiken en de ernst van deze kwetsbaarheden te beoordelen. CVSS vormt dus een aanvulling op CVE door organisaties informatie te verstrekken waarmee ze passende herstelmaatregelen kunnen nemen.

Terwijl CVE de vraag "Wat is de kwetsbaarheid?" beantwoordt, beantwoordt CVSS de vraag "Hoe ernstig is de kwetsbaarheid?". Beide maken deel uit van een volledig kwetsbaarheidsbeheerproces. Een kwetsbaarheidsidentificatieproces zoals CVE vormt de eerste stap, gevolgd door een context voor het prioriteren van reacties zoals CVSS.

Inzicht in de CVSS-scoremethodologie

De CVSS-scoremethodologie is onderverdeeld in drie grote groepen meetcriteria. Dit zijn basis-, tijdelijke en omgevingscriteria. Elk daarvan draagt bij aan de berekening van allesomvattende scores die een algemene kwetsbaarheid weergeven. Met behulp van deze meetcriteria worden organisaties zich bewust van hoe een bepaalde kwetsbaarheid kan worden misbruikt, de kans dat dit gebeurt en de waarschijnlijke impact op hun omgeving.

Verschillende meetcriteria in CVSS: basis-, tijdelijke en omgevingsscores

Het CVSS-scoremodel is gebaseerd op drie soorten maatstaven, die samen een kwantificering van de ernst van een kwetsbaarheid opleveren. Elk type maatstaf dient een bepaald doel en biedt verschillende invalshoeken van waaruit men het risico van een kwetsbaarheid kan beoordelen. Laten we deze maatstaven in detail bekijken:

1. Basismetingen: De basismetingen zijn de componenten van een kwetsbaarheid die in de loop van de tijd onveranderlijk blijven. Ze omvatten, maar zijn niet beperkt tot, de aard van de aanvalsvector zelf, of deze nu netwerkgebaseerd, aangrenzend netwerkgebaseerd of lokaal is. De impactmetriek omvat vertrouwelijkheid, integriteit en beschikbaarheid. Deze vormen de basismetriek voor elke CVSS-score.
2. Tijdgebaseerde metriek: Tijdelijke maatstaven houden rekening met factoren die in de loop van de tijd kunnen veranderen. Bijvoorbeeld de beschikbaarheid van exploitcode of het bestaan van een oplossing. Als er een patch wordt uitgegeven, worden de tijdelijke maatstaven bijgewerkt om een afname van het risico weer te geven. Deze maatstaven bieden dynamische informatie, waardoor CVSS een live score wordt die kan veranderen naarmate er meer informatie over de kwetsbaarheid beschikbaar komt.
3. Omgevingsstatistieken: Met omgevingsstatistieken kan de CVSS-score worden aangepast op basis van kenmerken die van toepassing kunnen zijn op een getroffen systeem. Deze statistieken helpen bij het aanpassen van de basis- en tijdelijke scores, zodat de impact van de kwetsbaarheid wordt weerspiegeld in de specifieke omgeving van de organisatie. Daarom is aanpassing belangrijk, zodat organisaties het werkelijke risico kunnen bepalen dat een dergelijke kwetsbaarheid voor hen vormt.

CVSS-score ernstclassificaties: laag, gemiddeld, hoog en kritiek

CVSS-scores hebben verschillende ernstclassificaties, die het bereik van risico's weergeven die een kwetsbaarheid kan veroorzaken. Deze classificaties, die laag, Gemiddeld, Hoog en Kritiek, geven de organisatie een idee van de urgentie en impact, zodat ze een idee krijgen van de benodigde middelen voor herstel. Dit is wat elke score betekent:

1. Laag (0,1 - 3,9): Kwetsbaarheden met een lage score vormen een minimaal risico voor de systemen. Dit zijn kwetsbaarheden die moeilijk te exploiteren zijn of die zeer weinig impact zouden hebben als ze zouden worden geëxploiteerd. Organisaties kunnen besluiten om deze op een later tijdstip aan te pakken, aangezien de kans op misbruik of de impact op kernfunctionaliteiten vrijwel te verwaarlozen is.
2. Gemiddeld (4,0 – 6,9): Deze categorie kwetsbaarheden vereist een gemiddelde inspanning om te exploiteren of kan een gemiddelde impact hebben als de exploit succesvol is. Dergelijke kwetsbaarheden vereisen mogelijk enige mate van aandacht, maar brengen de situatie doorgaans niet in gevaar. Teams moeten ze daarom prioriteren op basis van beschikbaarheid en huidige werklast.
3. Hoog (7,0 – 8,9): Kwetsbaarheden met een hoge score zijn gemakkelijker te exploiteren en hun exploitatie heeft gevolgen voor de vertrouwelijkheid, integriteit of beschikbaarheid van het systeem. Er zijn zelfs aanzienlijke herstelmaatregelen nodig om deze kwetsbaarheden op te lossen, omdat het risico op ernstige beveiligingsincidenten in organisaties toeneemt als dergelijke kwetsbaarheden lange tijd niet worden verholpen.
4. Kritiek (9,0 – 10,0): Kritieke kwetsbaarheden vormen de grootste bedreiging en moeten als eerste worden aangepakt. De lijst met kwetsbaarheden bestaat uit kwetsbaarheden die gemakkelijk kunnen worden misbruikt of die tot kritieke schade leiden als ze met succes worden misbruikt. Er zijn een aantal procedures die de meeste organisaties uitvoeren wanneer kritieke kwetsbaarheden worden geïdentificeerd, zoals noodpatches.

Hoe wordt een CVSS-score berekend?

Het verkrijgen van een CVSS-score kan een complexe taak zijn voor bedrijven, omdat er verschillende metingen in de berekening worden meegenomen. In die gestructureerde aanpak wordt alles, van de impact van de kwetsbaarheid, zeer zorgvuldig afgewogen. In dit gedeelte zullen we dit scoreproces in vier fasen of stappen opsplitsen:

1. Evaluatie van de basismetriekgroep: De eerste stap is het toekennen van waarden aan basisstatistieken die representatief zijn voor de intrinsieke eigenschappen van de kwetsbaarheid zelf. Dit zijn aanvalsvectoren, complexiteit van de aanval, vereiste privileges, gebruikersinteractie en effecten op vertrouwelijkheid, integriteit en beschikbaarheid. De basismetriek dient om een eerste risicobasis te creëren, waarbij rekening wordt gehouden met de inherente aard van een bepaalde kwetsbaarheid.
2. Groepstesten van tijdelijke metriek: In de volgende stap wordt de reeks tijdelijke maatstaven geëvalueerd. Hierbij wordt de huidige toestand van de kwetsbaarheid gecontroleerd, zoals de beschikbaarheid van een oplossing of exploitcode en de betrouwbaarheid van het rapport. Tijdelijke scores kunnen in de loop van de tijd veranderen, wat veranderingen in de exploiteerbaarheid of herstelmaatregelen weergeeft. Dit vereist dat organisaties het risiconiveau opnieuw beoordelen naarmate de situatie zich ontwikkelt.
3. Aanpassing van de groep omgevingsmetriek: In de derde stap wordt rekening gehouden met omgevingsmetriek. Dit stelt organisaties in staat om de basis- en tijdelijke scores aan te passen aan de impact die de kwetsbaarheid heeft op hun omgeving. Milieumetrics introduceren beveiligingsvereisten die van organisatie tot organisatie verschillen, waardoor de CVSS-score iets praktischer is voor de beveiligingsprioriteiten en operationele vereisten van een bedrijf.
4. Berekening van scores met behulp van de CVSS-calculator: Nadat alle metrische groepen zijn gescoord, wordt de eindscore berekend met behulp van een CVSS-calculator die beschikbaar is in de National Vulnerability Database (NVD). Deze score geeft vervolgens de ernst van de kwetsbaarheid weer, zodat organisaties hun herstelactiviteiten nauwkeuriger kunnen uitvoeren.

Hoe kunnen organisaties CVSS gebruiken om kwetsbaarheden te prioriteren?

Het prioriteren van kwetsbaarheden vormt een belangrijk onderdeel van een effectieve cyberbeveiligingsstrategie. De CVSS-score helpt een organisatie dus bij het identificeren van kwetsbaarheden die onmiddellijke aandacht vereisen en kwetsbaarheden die later kunnen worden aangepakt. Organisaties die CVSS gebruiken bij hun kwetsbaarheidsbeheer, kunnen de risico's systematisch beperken. Hieronder volgen enkele manieren waarop organisaties CVSS kunnen gebruiken:

1. Scoringintensiteitsrangschikking: Hoge en kritieke kwetsbaarheden, met een score van 7,0 of hoger, moeten onmiddellijk worden verholpen om het risico op grootschalige beveiligingsinbreuken te verminderen. Door deze prioritering kunnen organisaties hun herstelinspanningen beheren door hun middelen en tijd te concentreren op de gevaarlijkste bedreigingen. Door deze ernstige kwetsbaarheden als eerste aan te pakken, worden essentiële bedrijfsmiddelen daadwerkelijk beschermd en wordt de kans op verstoring van de bedrijfsvoering verkleind.
2. Herstel in strategische afstemming met bedrijfsdoelstellingen: Organisaties moeten omgevingsmetrics gebruiken om de CVSS-scores af te stemmen op basis van kriticiteit, zodat ze zich kunnen concentreren op die kwetsbaarheden die van invloed zijn op kritieke activa of essentiële functies. Hierdoor worden de herstelmaatregelen direct afgestemd op de belangrijkste strategische bedrijfsdoelstellingen. Door prioriteiten te stellen op basis van impact kunnen organisaties hun middelen optimaal benutten, omdat ze zich kunnen concentreren op de risico's die het belangrijkst zijn voor succes en veiligheid.
3. Automatische reactie op kwetsbaarheden: De meeste kwetsbaarheidsbeheersystemen zijn geïntegreerd met het CVSS-scoremchanisme voor een geautomatiseerd prioriteringsproces. Dergelijke systemen kunnen workflows activeren als automatische reactie op kritieke kwetsbaarheden, terwijl fouten met CVSS tot een minimum worden beperkt. Dankzij automatisering kunnen organisaties handmatige inspanningen verminderen, waardoor beveiligingsteams urgente kwetsbaarheden effectiever kunnen aanpakken en een betere algehele beveiligingsresponsiviteit kunnen garanderen.
4. CVSS integreren met dreigingsinformatie: Door bedreigingsinformatie toe te passen op CVSS-scores, krijgt een organisatie een beter inzicht in de werkelijke risico's voor elke kwetsbaarheid in realtime. Bedreigingsinformatie kan aantonen dat een bepaalde kwetsbaarheid actief wordt misbruikt en daardoor prioriteiten verschuift. Op deze manier blijft de organisatie actieve aanvallen een stap voor en kan zij zich proactief beschermen tegen nieuwe, opkomende bedreigingen.
5. Regelmatige herziening en update van op CVSS gebaseerde prioritering: De op CVSS gebaseerde prioritering moet continu worden herzien en verfijnd voor de hele organisatie om ervoor te zorgen dat de strategie aansluit bij de veranderende beveiligingsbehoeften en evoluerende risicopercepties. Gebeurtenissen die aanleiding kunnen geven tot een bijgewerkte prioritering zijn onder meer nieuwe dreigingsgegevens, infrastructuurwijzigingen of veranderingen in bedrijfsdoelstellingen. Door deze regelmatige verfijning wordt het kwetsbaarheidsbeheerproces proactief en adaptief, dankzij de precisie en relevantie van CVSS.

Wat zijn de beperkingen van CVSS?

Hoewel CVSS een effectief hulpmiddel is voor het beoordelen van de ernst van kwetsbaarheden, heeft het ook nadelen. Kennis van deze beperkingen stelt bedrijven beter in staat om weloverwogen beslissingen te nemen over de toepassing van deze technologie.

Bovendien stelt inzicht in de beperkingen organisaties in staat om aanvullende tools toe te passen die helpen om de achtergebleven hiaten te overbruggen.

1. Gebrek aan contextspecifieke informatie: Het CVSS houdt op zichzelf geen rekening met organisatiespecifieke details. Dit omvat onder meer de bedrijfswaarde of het specifieke dreigingslandschap van een organisatie. Gebruikers zullen omgevingsmetrics moeten toepassen om scores op een passende manier te kalibreren, zodat deze aansluiten bij hun specifieke omgeving en gebruikssituatie.
2. Subjectiviteit bij het toekennen van scores:  Sommige scores zijn subjectief en dus afhankelijk van de ervaring van de beoordelaar. Zo kunnen bijvoorbeeld de complexiteit van een aanval of de vereiste privileges sterk verschillen. Dit kan ertoe leiden dat kwetsbaarheden te hoog of te laag worden geprioriteerd, wat uiteindelijk de efficiëntie van het kwetsbaarheidsbeheerproces beïnvloedt. De gestandaardiseerde scoringsrichtlijnen minimaliseren dit risico.
3. Houdt geen rekening met trends in exploiteerbaarheid: Hoewel tijdelijke statistieken variëren afhankelijk van de exploiteerbaarheid, houdt CVSS geen rekening met de invloed van aanvalstrends op toekomstige risico's. Een kwetsbaarheid kan een zeer lage score hebben, maar door nieuwe exploits die in de loop van de tijd worden ontwikkeld, nog gevaarlijker worden. Daarom is het voor een beter begrip onontbeerlijk om CVSS aan te vullen met tools voor dreigingsinformatie.
4. Beperkt inzicht in de interactie tussen kwetsbaarheden: Bij het toekennen van scores via alleen CVSS wordt geen rekening gehouden met de versterkende effecten van gecombineerde kwetsbaarheden. Grote, complexe aanvalsgrafieken die worden gebruikt om veel kwetsbaarheden te exploiteren, zijn aanzienlijk risicovoller dan hun score alleen doet vermoeden. Dit moet ook worden aangevuld met een analyse van het aanvalspad of een pentest-aanpak om dergelijke samengestelde risico's te identificeren en op te lossen.
5. Statische aard van scores: Het probleem met CVSS-scores is dat ze een momentopname zijn. De scores worden niet bijgewerkt op basis van veranderingen in het dreigingslandschap of veranderingen in de omgeving waarvan een organisatie deel uitmaakt. Door dit 'statische' karakter raken sommige beoordelingen behoorlijk verouderd, met name bij kwetsbaarheden die zo snel veranderen.
6. Minimale richtlijnen voor prioritering in diverse omgevingen: CVSS alleen kan geen goede richtlijnen voor prioriteiten bieden voor diverse omgevingen met verschillende regelgevende of operationele vereisten. Bepaalde kwetsbaarheden op financieel gebied moeten bijvoorbeeld onmiddellijk worden verholpen om te voldoen aan de regelgeving, terwijl ze in andere sectoren minder kritiek zijn. Organisaties moeten CVSS combineren met sectorspecifieke risicofactoren om ervoor te zorgen dat de prioriteiten op het gebied van naleving en bedrijfsvoering in overeenstemming blijven met deze risicofactoren.

Best practices voor het Common Vulnerability Scoring System (CVSS)

Het gebruik van best practices voor CVSS door organisaties helpt om het nut ervan te maximaliseren en tegelijkertijd effectief om te gaan met de beperkingen ervan. Dergelijke praktijken zorgen ervoor dat een consistente toepassing beveiligingsteams in staat stelt zich te concentreren op en passende maatregelen te nemen wanneer dat het belangrijkst is.

Hier volgen enkele best practices voor CVSS:

1. Integratie van CVSS-scores en dreigingsinformatie: Door CVSS-scores op te nemen in de huidige dreigingsinformatie wordt het inzicht in kwetsbaarheden verbeterd en kunnen reële risicobeoordelingen worden opgesteld. Dit biedt ruimte voor andere aspecten, zoals trends of actievere dreigingen. Deze benadering van het beheer van kwetsbaarheden is dus dynamisch en responsief.
2. Gebruik van omgevingsmetriek: Door effectief gebruik te maken van omgevingsmetriek kan de score worden afgestemd op de specifieke situatie van de organisatie. Deze afstemming overbrugt de kloof tussen generieke scores en organisatiespecifiek risicobeheer, waardoor beperkte middelen worden ingezet waar ze het meeste effect hebben.
3. CVSS-scores worden regelmatig bijgewerkt: Het werkelijke probleem is dat de gebruikte CVSS-scores voortdurend moeten worden bijgewerkt naarmate de kwetsbaarheden zich ontwikkelen. De ontwikkeling van tijdelijke meetwaarden zorgt er dus voor dat scores voor lopende kwetsbaarheden een weerspiegeling zijn van de huidige exploiteerbaarheid en de beschikbaarheid van patches. Hierdoor kunnen herstelstrategieën worden aangepast aan dynamische veranderingen in het kwetsbaarheidslandschap.
4. Prioritering op basis van de kriticiteit van activa: Het gebruik van de CVSS, in combinatie met de kriticiteit van activa, zal dit scherp in beeld brengen bij het opstellen van mitigatiestrategieën. Door de CVSS-score af te stemmen op de waarde of kriticiteit van activa, kunnen beveiligingsteams zich concentreren op de kwetsbaarheden waarvan de exploitatie een grote impact zou hebben. Deze aanpak zorgt er op zijn beurt voor dat de meest risicovolle activa in aanmerking worden genomen en dus bescherming bieden op de plaatsen waar die bescherming het meest nodig is.
5. Samenwerking tussen beveiligingsfuncties: Een gemeenschappelijke aanpak van kwetsbaarheidsbeheer wordt gewaarborgd door de betrokkenheid van verschillende beveiligingsfuncties, zoals risicobeheer en incidentrespons, bij het interpreteren van de betekenis van de scores. De multifunctionele teams zorgen ervoor dat de CVSS-score in elk geval wordt toegepast voor onmiddellijke dreigingsbeoordeling en ook voor strategische planning op lange termijn. Dit zorgt voor afstemming van de acties tussen de teams voor een algehele beveiligingshouding.
6. CVSS combineren met hersteltijdschema's: Het opstellen van hersteltijdschema's op basis van CVSS-scores maakt gestructureerde responsinspanningen mogelijk en helpt vertragingen te voorkomen. Organisaties koppelen de CVSS-score aan bepaalde responstijden om tijdige herstelmaatregelen af te dwingen, wat betekent dat kwetsbaarheden op een voorspelbare en efficiënte manier worden aangepakt. Deze gestructureerde aanpak maakt proactieve resourceplanning en verantwoordingsplicht binnen een beveiligingsteam mogelijk.

Praktijkvoorbeelden van CVSS in de praktijk

De praktijkvoorbeelden van CVSS kunnen helpen om de relevantie van CVSS voor bedrijven aan te tonen, waardoor zij praktische kennis van het concept kunnen opdoen. Hieronder volgen enkele voorbeelden van algemeen bekende kwetsbaarheden, samen met de bijbehorende CVSS-scores en wat deze voor een organisatie kunnen betekenen:

1. Heartbleed (CVE-2014-0160): Heartbleed is een kwetsbaarheid in de cryptografische softwarebibliotheek OpenSSL met een CVSS-basisscore van 7,5. Deze kwetsbaarheid maakte het voor aanvallers mogelijk om misbruik te maken van de heartbeat-functionaliteit om gevoelige gegevens rechtstreeks uit het geheugen van servers te lezen die door deze kwetsbaarheid waren getroffen, waaronder privésleutels en gebruikersgegevens. Een dergelijke hoge score duidde op een grote impact op de vertrouwelijkheid, waardoor organisaties gedwongen werden om onmiddellijk prioriteit te geven aan het aanbrengen van patches. Door de wijdverspreide kwetsbaarheid werd een aanzienlijk aantal websites getroffen, wat leidde tot een sterke impuls voor verbeterde beveiligingspraktijken en bewustwording in de sector. Dit zou ook kunnen leiden tot grootschalige datalekken in combinatie met identiteitsdiefstal, wat aanleiding gaf tot herstelmaatregelen.
2. Windows SMB Remote Code Execution Vulnerability (CVE-2017-0144): CVSS voor deze kwetsbaarheid was 8,8 omdat het op afstand code kon uitvoeren binnen Windows-systemen. De WannaCry-ransomware trof inderdaad honderdduizenden computers over de hele wereld omdat het gebruikmaakte van deze aanvalstool, die misbruik maakte van een kwetsbaarheid in Microsofts implementatie van Server Message Block (SMB). Deze kwetsbaarheid stelde aanvallers in staat om zonder authenticatie toegang te krijgen tot systemen en willekeurige code uit te voeren. De score toonde duidelijk aan dat er onmiddellijk patches en systeemupdates nodig waren, wat aangeeft hoe snel cybercriminelen soortgelijke kwetsbaarheden in software of systemen misbruiken. Het stimuleert het nemen van verdere robuuste beveiligingsmaatregelen, zodat dergelijke misbruiken in de toekomst niet meer plaatsvinden.
3. Shellshock (CVE-2014-6271): Shellshock is een kwetsbaarheid in de Bash-shell die een CVSS-score van 9,8 kreeg en dus als kritiek werd aangemerkt. Met behulp van omgevingsvariabelen konden hackers allerlei commando's uitvoeren op Unix-gebaseerde systemen uitvoeren. De omvang van deze kwetsbaarheid was van het grootste belang, aangezien meerdere apparaten gevaar liepen, dus systeembeheerders over de hele wereld haastten zich om onmiddellijk actie te ondernemen. De externe toegangspunten waren niet geauthenticeerd en het systeem had zeer weinig controle over veel toegangspunten. Het was zeer kwetsbaar voor bedreigingen op het gebied van integriteit en vertrouwelijkheid. Organisaties werden gedwongen om snelle oplossingen te implementeren met uitgebreide beveiligingsmaatregelen om herhaling in de toekomst te voorkomen.
4. Log4Shell (CVE-2021-44228): Log4Shell is een kwetsbaarheid die is gebaseerd op de zwakte van de Log4j-logboekbibliotheek, met een kritieke CVSS-score van 10, waardoor een aanvaller willekeurige code kan uitvoeren op servers die de bibliotheek implementeren wanneer ze speciaal vervaardigde logboekberichten ontvangen. Een dergelijke kwetsbaarheid met een hoge blootstelling, die in talrijke toepassingen in duizenden pakketten werd toegepast, vereiste uitgebreide noodpatches binnen die sectoren. Organisaties moesten onder extreme druk werken om hun systemen te beschermen tegen mogelijke misbruik, en het niet patchen betekende zeer ernstige inbreuken op gegevens en operationele verstoringen. De gebeurtenis bracht de noodzaak aan het licht om de softwarebibliotheek up-to-date te houden en altijd alert te zijn op dergelijke kwetsbaarheden.
5. Spectre en Meltdown (CVE-2017-5754): Spectre en Meltdown zijn kwetsbaarheden in microprocessoren die een score van 5,6 hebben gekregen op de CVSS-schaal vanwege de ingrijpende gevolgen die ze hebben voor de privacy van gegevens en de integriteit van systemen. Door dergelijke gebreken in de architectuur van de CPU kan een aanvaller toegang krijgen tot informatie die in het geheugen van verschillende applicaties is opgeslagen. Het verhelpen van deze kwetsbaarheden was een hele uitdaging, omdat hiervoor zowel softwarepatches als architecturale wijzigingen op hardwareniveau nodig waren, wat voor organisaties over de hele wereld een probleem vormde. Dit leidde tot verder onderzoek naar hardwarebeveiliging en tot vooruitgang op het gebied van proactieve maatregelen om de risico's van opkomende bedreigingen binnen de computertechnologie te beperken.

Conclusie

Concluderend hebben we begrepen hoe CVSS een standaard is geworden voor de beoordeling en het beheer van kwetsbaarheden in diverse systemen. Door de toepassing van basis-, tijdelijke en omgevingsmetriek kan een organisatie dezelfde methodologie toepassen bij het beheer van kwetsbaarheden. Een dergelijke gestructureerde aanpak maakt een juiste prioritering en toewijzing van middelen mogelijk, niet alleen om weloverwogen beslissingen te nemen, maar ook om deze effectief te beheren. Hoewel de tekortkomingen van CVSS worden erkend, maken dreigingsinformatie en de kriticiteit van activa het tot een basisinstrument voor het verbeteren van de beveiligingsstatus en het naleven van voorschriften met minimale verstoring.

"

FAQs