CVSS e CVE: Como Avaliar a Severidade das Vulnerabilidades
Proteger os ativos digitais de uma organização exige a identificação, o rastreamento e o gerenciamento eficaz de vulnerabilidades no cenário atual de segurança cibernética em constante evolução. Dois componentes fundamentais nesse processo são o sistema Common Vulnerabilities and Exposures (CVE) e o Common Vulnerability Scoring System (CVSS). Embora ambos desempenhem papéis essenciais no gerenciamento de vulnerabilidades, entender suas diferenças, como se complementam e suas limitações é essencial para uma estratégia de segurança cibernética robusta.
O que é CVE?
O sistema Common Vulnerabilities and Exposures (CVE) é uma estrutura padronizada estabelecida em 1999 pelo MITRE para catalogar vulnerabilidades de segurança cibernética publicamente conhecidas. Cada entrada CVE recebe um identificador exclusivo, como CVE-2024-23750, o que facilita a comunicação clara e consistente entre profissionais, organizações e pesquisadores de segurança cibernética.
A IBSEC divulgou algumas CVEs descobertas recentemente, clique aqui e confira.
Objetivo e Funcionalidade
O principal objetivo do sistema CVE é fornecer um ponto de referência comum para discutir e gerenciar vulnerabilidades de segurança. Ao manter uma lista centralizada, o CVE permite que as organizações monitorem e respondam a ameaças de segurança com mais eficácia. As principais funcionalidades incluem:
- Padronização: O CVE padroniza a identificação de vulnerabilidades, permitindo referências consistentes em diferentes bancos de dados e ferramentas.
- Compartilhamento de Informações: Os CVEs disseminam informações sobre ameaças de segurança para a comunidade em geral, garantindo que todas as partes interessadas sejam informadas e possam tomar as medidas adequadas.
- Gerenciamento de Patches: As organizações usam as entradas do CVE para rastrear vulnerabilidades relacionadas a seus softwares e hardwares, permitindo estratégias de gerenciamento e remediação de patches em tempo hábil.
Adoção e Impacto
A importância do CVE é reforçada por sua ampla adoção e seu extenso banco de dados, que incluia mais de 240.830 registros em julho de 2024. Aprovado por entidades importantes como o National Institute of Standards and Technology (NIST) e a U.S. Defense Information Systems Agency, o CVE consolidou seu papel como um recurso crítico no gerenciamento de vulnerabilidades.
Compreendendo o CVSS
O Sistema Comum de Pontuação de Vulnerabilidades (Common Vulnerability Scoring System – CVSS) complementa o sistema CVE, fornecendo um método padronizado para avaliar a gravidade das vulnerabilidades. O CVSS atribui uma pontuação numérica que varia de 0,0 a 10,0, com pontuações mais altas indicando problemas de segurança mais graves.
Mecanismo de Pontuação
As pontuações do CVSS são calculadas com base em três grupos de métricas principais:
- Métricas Base: Refletem as características inerentes de uma vulnerabilidade que não mudam ao longo do tempo ou entre ambientes. Incluem fatores como Vetor de Ataque (AV), Complexidade do Ataque (AC), Privilégios Necessários (PR), Interação do Usuário (UI), Escopo (S) e o impacto na Confidencialidade (C), Integridade (I) e Disponibilidade (A).
- Métricas Temporais: Consideram fatores que podem evoluir, como a disponibilidade do código de exploração (E), o nível de remediação (RL) e a confiança do relatório (RC).
- Métricas Ambientais: Permitem que as organizações personalizem as pontuações do CVSS com base em seus ambientes específicos e tolerância a riscos. Elas consideram a importância da confidencialidade, integridade e disponibilidade para a organização (CR, IR, AR) e quaisquer métricas base modificadas.
Atualizações Recentes
A versão mais recente, CVSSv4.0, lançada em novembro de 2023, apresenta métricas refinadas e maior clareza na pontuação. Esta versão enfatiza que o CVSS não deve ser utilizado apenas para priorização de vulnerabilidades, mas deve servir como um insumo vital em um processo mais amplo de tomada de decisão sobre gerenciamento e remediação de riscos.
Pontuações CVE vs. CVSS
Embora CVE e CVSS estejam intimamente relacionados, eles atendem a propósitos distintos no gerenciamento de vulnerabilidades.
| Aspecto | CVE | CVSS |
| Definição | Um identificador padronizado para uma vulnerabilidade publicamente conhecida | Uma pontuação numérica que avalia a gravidade de uma vulnerabilidade |
| Objetivo | Fornecer uma referência comum para a discussão de vulnerabilidades | Priorizar vulnerabilidades com base em sua gravidade |
| Escopo | Catálogos de vulnerabilidades | Avaliar o impacto e a explorabilidade das vulnerabilidades |
| Caso de Uso | Identificação e rastreamento de vulnerabilidades específicas | Priorizar esforços de remediação com base em pontuações de gravidade |
| Manutenção | Gerenciado pelas Autoridades de Numeração MITRE e CVE | Gerenciado pela comunidade CVSS com atualizações regulares |
Como Avaliar a Severidade das Vulnerabilidades
Mapear entradas CVE para pontuações CVSS envolve entender ambos os sistemas e utilizá-los de forma eficaz em seu processo de gerenciamento de vulnerabilidades.
Guia passo a passo para calcular as pontuações CVSS
- Identifique a entrada CVE: comece com o identificador exclusivo e a descrição detalhada da vulnerabilidade.
- Avalie as métricas básicas: avalie as características inerentes da vulnerabilidade, incluindo vetor de ataque, complexidade, privilégios necessários, interação do usuário, escopo e impacto na confidencialidade, integridade e disponibilidade.
- Avalie as métricas temporais: considere fatores que podem mudar ao longo do tempo, como a disponibilidade do código de exploração, o nível de remediação e a confiabilidade do relatório.
- Ajuste para métricas ambientais: personalize a pontuação com base no contexto específico da sua organização, incluindo a importância dos ativos afetados e os controles de segurança existentes.
- Calcule a pontuação: use a calculadora CVSS fornecida pelo NIST ou outras ferramentas oficiais para inserir as métricas e obter a pontuação CVSS final.
Faixas de pontuação CVSS e suas implicações
| Faixa de pontuação CVSS | Gravidade | Implicações |
| 0 | Nenhuma | Sem impacto. A vulnerabilidade não afeta a confidencialidade, a integridade ou a disponibilidade. |
| 0.1 – 3.9 | Baixa | Impacto limitado. Requer esforço mínimo para ser explorada e pode ter efeitos menores. |
| 4.0 – 6.9 | Média | Impacto moderado. A exploração requer algum esforço e afeta uma ou mais propriedades de segurança. |
| 7.0 – 8.9 | Alta | Impacto significativo. A exploração é viável e afeta múltiplas propriedades de segurança. |
| 9.0 – 10.0 | Crítica | Impacto severo. A exploração é altamente viável e afeta todas as propriedades de segurança. |
Confira também: Entenda Exploits: Como Hackers Aproveitam Vulnerabilidades
Prepare-se para Atuar na Linha de Frente da Cibersegurança
Entender CVE e CVSS é apenas o começo. Para quem deseja aplicar esse conhecimento na prática e dar o próximo passo rumo a uma carreira sólida como Analista SOC, o curso Defesa Cibernética – Analista SOC na Prática é a oportunidade ideal. Aprenda com especialistas, simule ataques reais, domine ferramentas de monitoramento e análise, e esteja pronto para responder às ameaças que desafiam empresas todos os dias.
👉 Inscreva-se agora e dê o próximo passo na sua carreira em cibersegurança!
