CVSS

Kalteberatasun arrunten puntuazio-sistema (Common Vulnerability Scoring System edo CVSS ingeleseko siglengatik) kalteberatasunen ezaugarriak eta zorroztasun-maila komunikatzeko irekita dagoen frameworka (lan-esparrua) da.

Sistema hau hiru talde metrikotan oinarritzen da: oinarria, denborazkoa eta ingurunea. Oinarrizko metrikek 0tik 10rako puntuazioa sortzen dute eta gerora alda daitezke denborazko edo inguruneko metriken bitartez.

CVSS puntuazioa testu-katean ere adierazi daiteke, eta horrek zenbakizko balioak izan ditzake. Framework horrek toki ona du neurri-sistema estandar gisa, segurtasun-puntuazio zehatza eta kontzientea behar duten industria, erakunde eta gobernuentzat.      

Kalteberatasun baten CVSS puntuazioa kalkulatzeko bi modu daude eta bien kasuan lehentasuna dute kalteberatasuna zuzentzeko egin behar diren jarduerei lehentasuna emateak.

Puntuazioa Estatu batuetako Gobernuaren Kalteberatasunen Datu-base Nazionalak (NVD) kalkulatzen du. Erakunde horrek CVSS puntuazioak eskaintzen ditu modu arruntean ezagutzen diren ia kalteberatasun guztientzat, hau da, ia CVE guztientzat. NVDk bi CVSS puntuazio sistema ditu: 2. bertsioa (2007koa) eta 3. bertsioa (2015ekoa). Gainera, oinarrizko CVSS puntuazioa ematen du kalteberatasun bakoitzaren berezko ezaugarrien arabera. Horregatik, eta duela denbora batetik, NVDk denborazko edo inguruneko puntuazioak emateari utzi dio,eta CVSS puntuazio-sistemaren bi bertsioak erabiliz CVE puntuazioak kalkulatzeko aukera soilik ematen du. Izatez, bere webgunean kalkulagailu moduko batzuk daude, eta URL hauetatik hel daiteke bertara:

• Kalkulagailua CVSS 2. bertsioa    
• Kalkulagailua CVSS 3. bertsioa    

CVSS puntuazio-sistemako 2. bertsioan, kritikotasun-maila baxua (low), ertaina (medium) eta altua (high) artean banatzen da. Kritikotasun baxukoa da 0.0 eta 3.9 arteko puntuazioa duena, ertaina 4.0 eta 6.9 artekoa eta altua 7.0 eta 10.0 artekoa. CVE baten puntuazioa kalkulatu ahal izateko, beharrezkoa da galdera batzuei erantzutea.

3. bertsioak horrela banatzen du kritikotasuna: bat ere ez (none), baxua (low), ertaina (medium), altua (high) eta kritikoa (critical). Tarteak horrela banatzen dira: bat ere ez 0.0 punturen baliokidea da, baxua 0.1 eta 3.9 artean dago, ertaina 4.0 eta 6.9 artean, altua 7.0 eta 8.9 artean eta kritika 9.0 eta 10.0 artean.

Berriro ere, puntuazio-sistema honetan erantzun beharreko galdera batzuk daude, 2. bertsioaren antzekoak, CVE bakoitzaren kritikotasun-maila ezartzeko:

• Nolakoa da sartzeko bektorea? Tokikoa, ondoko sare batekoa, sare berekoa edo fisikoa?
• Erasoa egiteko zaila da?
• Pribilegioak izatea beharrezkoa da?
• Beharrezkoa da erabiltzaileak interakzioa izatea ustiatzeko?
• Ustiapenak aukera ematen du beste osagarri batzuetara heltzeko edo pribilegio gehiago lortzeko? Arloz alda daiteke?
• Informazioaren konfidentzialtasunari eragin edo kalte egiten dio?
• Informazioaren osotasunari eragin edo kalte egiten dio?
• Informazioaren eskuragarritasunari eragin edo kalte egiten dio?