Common Vulnerability Scoring System; CVSS

Common Vulnerability Scoring System (CVSS; Wspólny system oceny podatności) to standard branżowy służący do oceny i klasyfikacji luk i podatności. CVSS pozwala nadać priorytety podatnościom i działaniom niezbędnym do ich wyeliminowania lub ograniczenia ich negatywnych konsekwencji. 

Określanie problematyczności i ustalanie priorytetów działań naprawczych

CVSS pozwala dokonać oceny poszczególnych podatności na podstawie rozpowszechnienia, łatwości ich wykorzystania, potencjalnego wpływu i innych czynników. W efekcie otrzymuje się wartość wskaźnika problematyczności w zakresie od 0,0 do 10,0.

Niski wynik uzyskany w analizie CVSS wskazuje na podatność o minimalnym lub ograniczonym potencjalnym wpływie lub ryzyku oraz niższym priorytecie działań naprawczych. Natomiast wysoki wynik CVSS wskazuje na poważną podatność wymagającą szybkiej lub wręcz natychmiastowej reakcji.

Administratorzy IT przeprowadzają kompleksową ocenę ryzyka, aby określić potencjalny wpływ podatności na konkretny system, sieć lub całą infrastrukturę. Następnie planują i wdrażają odpowiednie środki zaradcze, takie jak instalacja poprawek w oprogramowaniu, zmiana konfiguracji systemów, zapór sieciowych lub systemów wykrywania włamań (IDS) lub odizolowanie problematycznych punktów końcowych, aby wyeliminować negatywne konsekwencje lub ograniczyć rozmiar szkód.