CVSS v4.0 nasıl çalışır: güvenlik açıklarını karakterize etme ve puanlama

   Kasım 28, 2025  Posted in MalwareBytes


Ortak Güvenlik Açığı Puanlama Sistemi (CVSS), yazılım geliştiricilere, test uzmanlarına, güvenlik ve BT uzmanlarına güvenlik açıklarını değerlendirmek için standartlaştırılmış bir yöntem sağlar. Her bir güvenlik açığının tehdit düzeyini değerlendirmek ve ardından hafifletmeye buna göre öncelik vermek için CVSS’yi kullanabilirsiniz.

Bu makalede CVSS’nin nasıl çalıştığı açıklanmakta, bileşenleri gözden geçirilmekte ve standartlaştırılmış bir süreç kullanmanın kuruluşların güvenlik açıklarını tutarlı bir şekilde değerlendirmesine neden yardımcı olduğu açıklanmaktadır.

Yazılım güvenlik açığı, kod tabanındaki istismar edilebilecek herhangi bir zayıflıktır. Güvenlik açıkları, hatalı mantık, yetersiz doğrulama mekanizmaları veya arabellek taşmalarına karşı koruma eksikliği gibi çeşitli kodlama hatalarından kaynaklanabilir. Saldırganlar, yetkisiz erişim elde etmek, rastgele kod yürütmek veya sistem işlemlerini aksatmak için bu zayıflıklardan yararlanabilir.

Neden standartlaştırılmış bir puanlama sistemi kullanmalısınız?

Her yıl binlerce güvenlik açığının açığa çıkması nedeniyle kuruluşların hangilerini önce ele alacaklarını önceliklendirmenin bir yoluna ihtiyacı var. CVSS gibi standartlaştırılmış bir puanlama sistemi ekiplere şu konularda yardımcı olur:

  • Güvenlik açıklarını objektif olarak karşılaştırın
  • Yama uygulama ve azaltma çabalarına öncelik verin
  • Riski paydaşlara iletin

CVSS, Olay Müdahale ve Güvenlik Ekipleri Forumu (FIRST) tarafından sürdürülür ve Ulusal Güvenlik Açığı Veritabanı (NVD) dahil olmak üzere kuruluşlar ve güvenlik açığı veritabanları tarafından yaygın olarak kullanılır.

CVSS v3.x metrik grupları

CVSS v3.x üç ana metrik grubunu içeriyordu:

  1. Temel metrikler: Bir güvenlik açığının zaman içinde ve kullanıcı ortamları arasında sabit olan kendine özgü özellikleri.
  2. Geçici ölçümler: Zamanla değişen ancak kullanıcı ortamları arasında değişmeyen özellikler.
  3. Çevresel ölçümler: Belirli bir kullanıcının ortamıyla ilgili ve benzersiz olan özellikler.

CVSS v4.0’daki yenilikler neler?

2023’ün sonlarında yayınlanan CVSS v4.0 güncellemesi, önceki sürümlere (v3.0/v3.1) göre birçok önemli değişiklik ve iyileştirme getiriyor. İşte yenilikler ve değişenler:

1. Genişletilmiş metrik grupları

  • Temel metrikler artık yeni Saldırı Gereksinimleri (AT) ölçümü ve Gerekli Ayrıcalıklar ve Kullanıcı Etkileşimi için geliştirilmiş tanımlar gibi daha ayrıntılı ayrımları içeriyor.
  • Tehdit metrikleri gerçek dünyadaki istismarı ve tehdit istihbaratını yakalamak için yeni, isteğe bağlı bir ölçüm grubudur ve aktif istismara dayalı olarak güvenlik açıklarının önceliklendirilmesine yardımcı olur.
  • Ek ölçümlerpuanlamayı belirli sektörlere veya kullanım örneklerine göre uyarlamak için güvenlik, otomasyon ve kurtarma gibi ek bağlamlar sağlayın.

2. Geliştirilmiş puanlama ve terminoloji

  • Saldırı Vektörü (AV) geliştirilmiş tanımlarla ağ, bitişik, yerel ve fiziksel vektörler arasında daha net bir ayrım sağladı.
  • Saldırı Gereksinimleri (AT) Başarılı bir kullanım için mevcut olması gereken ancak saldırganın kontrolü dışında olan koşulları yakalamak için tanıtılır.
  • Gerekli Ayrıcalıklar (PR) ve Kullanıcı Etkileşimi (UI) modern saldırı senaryolarını yansıtacak şekilde netleştirildi ve genişletildi.
  • Kapsam artık nelerin etkilendiği hakkında daha kesin bir dil sağlayan “savunmasız sistem” olarak adlandırılıyor.

3. Daha fazla esneklik ve kişiselleştirme

  • Modüler puanlama Kuruluşların temel, tehdit ve ek metrikleri bağımsız olarak veya birlikte kullanmalarına olanak tanır.
  • Sektöre özel uzantılar Sağlık hizmetleri, otomotiv veya kritik altyapı gibi sektörlerin daha özel puanlama uygulamasına izin verin.

4. Geliştirilmiş rehberlik ve kullanılabilirlik

  • Daha net belgeler: Yeni spesifikasyon artık puanlamadaki belirsizliği azaltmak için daha iyi örnekler ve daha ayrıntılı rehberlik içermektedir.
  • Geriye dönük uyumluluk: CVSS v4.0 puanları, v3.x puanlarıyla doğrudan karşılaştırılamaz ancak yeni sistem, geçiş döneminde bir arada var olacak şekilde tasarlandı.

CVSS puanlama süreci nasıl çalışır (v4.0)

  1. Temel metrikleri değerlendirin
    • Güncellenmiş ölçüm tanımlarını kullanarak güvenlik açığının kullanılabilirliğini ve etkisini değerlendirin.
  2. Tehdit ölçümlerini dahil edin (isteğe bağlı)
    • Aktif istismara ilişkin istihbarat varsa gerçek dünyadaki riski yansıtacak şekilde puanı buna göre ayarlayın.
  3. Çevresel ve tamamlayıcı ölçümler ekleyin
    • Puanı kuruluşunuzun ortamına ve sektöre özel gereksinimlere göre uyarlayın.
  4. Son puanı hesaplayın
    • CVSS hesaplayıcısı (şimdi v4.0 için güncellenmiştir), 0,0 (risk yok) ile 10,0 (kritik risk) arasında bir puan üretmek için seçilen ölçümleri birleştirir.

CVSS v4.0 puanı örneği

Yeni keşfedilen bir güvenlik açığının, hiçbir ayrıcalık gerektirmeden ve kullanıcı etkileşimi olmadan ağ üzerinden uzaktan kod yürütülmesine izin verdiğini varsayalım. CVSS v4.0 kapsamında:

  • Uygun temel metrikleri atayın (örneğin, Ağ, Düşük karmaşıklık, Ayrıcalık yok, Kullanıcı etkileşimi yok).
  • Aktif istismarın kanıtı varsa aciliyeti artırmak için tehdit ölçüsünü kullanın.
  • Kuruluşunuzla ilgili çevresel veya tamamlayıcı ölçümleri ekleyin.

Ortaya çıkan puan, hem teknik ayrıntılara hem de gerçek dünyadaki tehdit ortamına göre düzeltme çabalarına öncelik vermenize yardımcı olur.

Güncelleme neden önemlidir?

CVSS v4.0’daki iyileştirmeler, yazılım açıklarının değişen doğasını ve daha ayrıntılı, eyleme geçirilebilir risk değerlendirmelerine olan ihtiyacı yansıtıyor. Kuruluşlar, gerçek dünyadaki tehdit istihbaratını ve sektöre özgü bağlamı birleştirerek güvenlik açığı yönetimi konusunda daha bilinçli kararlar alabilir.

Temel çıkarımlar:

  • CVSS v4.0 daha doğru, esnek ve uygulanabilir güvenlik açığı puanlaması sağlar.
  • Yeni metrik grupları özelleştirmeye ve gerçek dünyada önceliklendirmeye olanak tanır.
  • Kuruluşların, güvenlik açığı risk yönetimine daha kapsamlı bir yaklaşım için CVSS v4.0’a geçmesi gerekmektedir.

Daha fazla bilgi almak ve en son CVSS v4.0 hesaplayıcısına ve belgelerine erişmek için FIRST CVSS v4.0 sayfasını ziyaret edin..

Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz

Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.



Source link