“Risco Cibernético = Probabilidade de Ocorrência x Dano”

Em meados de 2023, o Sistema de Pontuação Comum de Vulnerabilidades (CVSS) v4.0 foi revelado, sucedendo o CVSS v3.0 com o objetivo de aprimorar a avaliação de vulnerabilidades tanto para a indústria quanto para o público. Essa versão mais recente introduz métricas adicionais como segurança e automação para lidar com críticas de falta de granularidade, ao mesmo tempo em que apresenta um sistema de pontuação revisado para uma avaliação mais abrangente. Além disso, enfatiza a importância de considerar métricas ambientais e de ameaça juntamente com a pontuação base para avaliar as vulnerabilidades de forma precisa.

A principal finalidade do CVSS é avaliar o risco associado a uma vulnerabilidade. Algumas vulnerabilidades, especialmente aquelas encontradas em produtos de rede, apresentam um risco claro e significativo, pois atacantes não autenticados podem facilmente explorá-las para obter controle remoto sobre os sistemas afetados. Essas vulnerabilidades têm sido frequentemente exploradas ao longo dos anos, servindo muitas vezes como pontos de entrada para ataques de ransomware.

Os sistemas de avaliação de vulnerabilidades empregam fatores predefinidos para quantificar objetivamente a probabilidade e o impacto das vulnerabilidades. Entre esses sistemas, o CVSS emergiu como um padrão internacionalmente reconhecido para descrever características-chave de vulnerabilidades e determinar níveis de gravidade.

O CVSS avalia vulnerabilidades com base em vários critérios, utilizando métricas com opções predefinidas para cada métrica. Essas métricas contribuem para o cálculo de uma pontuação de gravidade que varia de 0.0 a 10.0, sendo 10.0 a representação do nível de gravidade mais alto. Essas pontuações numéricas são então mapeadas para categorias qualitativas como “Nenhum”, “Baixo”, “Médio”, “Alto” e “Crítico”, refletindo a terminologia comumente utilizada em relatórios de vulnerabilidades.

As métricas empregadas para determinar a gravidade são categorizadas em três grupos: Métricas de Base, Métricas Temporais e Métricas Ambientais. Cada grupo fornece perspectivas específicas sobre diferentes aspectos da vulnerabilidade, auxiliando em uma avaliação abrangente de sua gravidade e impacto potencial.