İLETİŞİM
.png){kind=logo}
İLETİŞİM
DESTEK
Mail Güvenliği 
Veri Merkezi 
Bilgi ve İletişim Güvenliği Rehberi (BİGR) Danışmanlığı Hizmeti
UTM 
DİĞER 
CVSS: Ortak Zafiyet Skorlama Sistemi
Günümüzde, siber tehditler ve güvenlik açıkları giderek artan bir endişe kaynağı haline gelmiştir. Bu bağlamda, güvenlik uzmanları ve organizasyonlar, zayıflıkları değerlendirmek ve önceliklendirmek için etkili bir çözüm arayışındadır. İşte burada devreye "Common Vulnerability Scoring System" veya kısaca CVSS girer.
Zafiyet, sistemlerdeki güvenlik açıklarıdır ve bu açıklar kötü niyetli kişilerin sistemlere sızma veya zararlı eylemler gerçekleştirebilmelerine olanak tanır. CVSS, bu tür zayıflıkların ciddiyetini değerlendirmek ve önceliklendirmek için tasarlanmış bir standarttır. Bu sistem, temel skor, erişim düzeyi, kolaylık düzeyi gibi metrikleri kullanarak bir zayıflığın potansiyel etkilerini belirler.
CVSS, zayıflıkları değerlendirmede üç ana metrik kullanır:
Temel Skor (Base Score): Zafiyetin doğasını ve temel etkilerini değerlendirir. Temel skor, iki ana kategoride alt metrikleri içerir:
Erişim Düzeyi (Access Vector): Saldırganın zayıflığı kullanmak için hangi yolları kullanabileceğini belirler. Örneğin, uzak bir ağ üzerinden erişim, yerel bir ağ üzerinden erişim veya fiziksel erişim gibi.
Kolaylık Düzeyi (Access Complexity): Saldırganın zayıflığı kullanmak için ne kadar çaba sarf etmesi gerektiğini belirler. Bu, saldırganın işlemi ne kadar kolay veya zor gerçekleştirebileceğini gösterir.
Zayıflığın Yayılma Hızı (Temporal Score): Bu skor, zafiyet üzerine uygulanan yama veya güvenlik önlemlerinin etkilerini değerlendirir. Bu, güvenlik düzeltmelerinin yayılma hızını ve bu düzeltmelerin etkilerini içerir.
Çevresel Skor (Environmental Score): Zafiyetin belirli bir organizasyon veya sistem içindeki etkileri değerlendirir. Organizasyonun benzersiz özelliklerini, kullanılan teknolojileri ve konfigürasyonu dikkate alır.
Bu üç metrik, bir zayıflığın genel skorunu oluşturmak için bir araya getirilir. Skorlar, sırasıyla düşük, orta, yüksek ve kritik gibi sınıflara ayrılarak zayıflığın ciddiyeti hakkında bilgi sağlar. Her metrik belirli bir ağırlıkla çarptırılır ve bu ağırlıklar genellikle standart belgelere göre belirlenir. Bu ağırlıkların çarptırılmasıyla elde edilen sonuçlar toplanarak genel bir CVSS skoru oluşturulur.
|
Önem |
CVSS v3.1 Puanı |
|
Kritik |
9,0 - 10 |
|
Yüksek |
7,0 – 8,9 |
|
Orta |
4,0 – 6,9 |
|
Düşük |
0,1 – 3,9 |
CVSS puanlaması, düşük, orta, yüksek ve kritik gibi seviyelere ayrılan bir puanlama sistemini kullanır. Skor ne kadar yüksekse, zayıflığın o kadar ciddi olduğu kabul edilir. CVSS puanları, güvenlik uzmanlarına ve sistem yöneticilerine güvenlik açıklarını önceliklendirme konusunda yardımcı olmak için bir rehber sağlar.
Örneğin, bir zayıflığın temel skoru yüksek olabilir, ancak organizasyonun uyguladığı güvenlik önlemleri nedeniyle yayılma hızı düşük olabilir, bu da genel skoru etkileyebilir.
CVSS, siber güvenlik uzmanlarına, belirli bir zayıflığın önemini ve aciliyetini değerlendirmede yardımcı olmak için bir çerçeve sağlar. Bu, siber güvenlik uzmanlarının sınırlı kaynaklarını en etkili şekilde kullanmalarına, en kritik zayıflıklara öncelik vermelerine ve organizasyonlarının genel güvenlik seviyelerini artırmalarına olanak tanır. CVSS, güvenlik açıklarını belirlemek, değerlendirmek ve ele almak adına kapsamlı bir yaklaşım sunarak dijital dünyada güvenliği sağlama konusunda önemli bir araç olmuştur.
Birçok zafiyet tarama aracı zafiyet puanlamasında CVSS yöntemini kullanmaktadır ve bu yöntem belirli aralıklarla hesaplama yöntemini güncellemektedir. Bu süreç CVSS’nin tüm telif ve marka haklarına sahip olan kar amacı gütmeyen kuruluş The Forum in Incident Response and Security Teams (FIRST) tarafından yürütülmektedir. CVSS sürüm 3.0, Haziran 2015'te yayınlandı ve yerini Haziran 2019'da CVSS sürüm 3.1 aldı.
CVSS sürüm 4.0 çalışmaları devam etmektedir.
Yazar: Eren ÖKSÜZ / BeyazNet Bilgi Sistemleri Analisti