CVSS hakkında her şey: Güvenlik açığı puanlaması nasıl gelişti?

Ortak Güvenlik Açığı Puanlama Sistemini inceliyoruz: Ne işe yaradığını, pratikte nasıl kullanıldığını ve Temel Puan’ın neden güvenlik açığı değerlendirmesinin sonu değil sadece başlangıcı olduğunu açıklıyoruz.

BT varlıklarınızı etkili bir şekilde korumak için CVSS hakkında bilmeniz gerekenler

Bu yıl, yazılım güvenlik açıklarını tanımlamak için yaygın olarak kabul gören bir standart haline gelen Ortak Güvenlik Açığı Puanlama Sisteminin (CVSS) 20. yıldönümü. Onlarca yıllık kullanıma ve standardın dört nesline rağmen (şu anda 4.0 sürümünde) CVSS puanlama kuralları kötüye kullanılmaya ve sistemin kendisi yoğun tartışmalara konu olmaya devam ediyor. Peki, BT varlıklarınızı etkili bir şekilde korumak için CVSS hakkında neler bilmeniz gerekiyor?

CVSS Temel Puanı

Geliştiricilerine göre yazılım açıklarının özelliklerini ve ciddiyetini tanımlayan bir araç olan CVSS, Forum of Incident Response and Security Teams (FIRST) tarafından yönetilmektedir. CVSS, uzmanların güvenlik açıkları hakkında ortak bir dil konuşmalarına yardımcı olmak ve yazılım kusurlarına ilişkin verilerin otomatik olarak işlenmesini kolaylaştırmak için oluşturulmuştur. CVE , EUVD veya CNNVD gibi büyük güvenlik açığı kayıtlarında yayınlanan hemen hemen her güvenlik açığı, CVSS ölçeğine dayalı bir şiddet değerlendirmesi içerir.

Bir değerlendirme genellikle iki ana bölümden oluşur:

  • İlki, güvenlik açığının 0 ile 10 arasında ne kadar ciddi olduğunu gösteren sayısal bir derecelendirmedir (CVSS puanı). 10 puan, bunun son derece tehlikeli ve kritik bir güvenlik açığı olduğu anlamına gelir.
  • İkincisi, güvenlik açığının temel özelliklerini tanımlayan standartlaştırılmış bir metin dizesi olan bir vektördür. Bu, bir ağ üzerinden uzaktan mı yoksa yalnızca yerel olarak mı istismar edilebileceği, yükseltilmiş ayrıcalıklar gerekip gerekmediği, istismarın ne kadar karmaşık olduğu ve savunmasız sistemin hangi yönlerinin (kullanılabilirlik, bütünlük veya gizlilik gibi) istismardan etkilendiği gibi ayrıntıları içerir.

İşte oldukça ciddi ve aktif olarak istismar edilen CVE-2021-44228 (Log4Shell) güvenlik açığını kullanan bir örnek: Temel Puan 10.0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)

Bunu biraz açalım: Saldırı vektörü ağ tabanlıdır, saldırı karmaşıklığı düşüktür, gerekli ayrıcalıklar yoktur, kullanıcı etkileşimi gerekmez, kapsam güvenlik açığının diğer sistem bileşenlerini etkilediğini ve gizlilik, bütünlük ve kullanılabilirlik üzerindeki etkinin yüksek olduğunu gösterir. Her bir bileşenin ayrıntılı açıklamaları CVSS 3.1 ve CVSS 4.0 spesifikasyonlarında mevcuttur.

CVSS sisteminin önemli bir parçası puanlama metodolojisidir. Bu metodoloji aynı zamanda hesap makinesi olarak da bilinir ve hem 4.0 hem de 3.1 için mevcuttur. Tüm vektör bileşenlerini doldurduğunuzda otomatik olarak sayısal bir kritiklik puanı elde edebilirsiniz.

Orijinal CVSS hesaplama metodolojisi üç metrik grubunu içerir: Temel , Zamansal ve Çevresel. Birinci grup, bir güvenlik açığının temel ve değişmez özelliklerini kapsar ve CVSS Temel Puanı’nın hesaplanmasının temelini oluşturur. İkinci grup, yayınlanmış istismar kodunun bulunabilirliği gibi zaman içinde değişebilen özellikleri içerir. Üçüncü grup, savunmasız uygulamanın kapsamı veya kurumun altyapısında hafifletici güvenlik denetimlerinin varlığı gibi bağlama özgü faktörleri hesaba katmak üzere kurum içi kullanım için tasarlanmıştır. CVSS 4.0’da, Zamansal ölçümler Tehdit ölçümlerine dönüşmüş ve yeni bir Ek ölçüm grubu tanıtılmıştır.

Metriklerin birbiriyle nasıl bağlantılı olduğunu şöyle açıklayabiliriz. Yazılım satıcıları veya siber güvenlik şirketleri genellikle bir güvenlik açığının Temel kritikliğini değerlendirir (4.0 spesifikasyonunda “CVSS-B” olarak adlandırılır). Ayrıca genellikle bir istismarın kullanılabilirliği ve kamuya açıklanmasıyla ilgili bir değerlendirme sağlarlar (4.0’da CVSS-BT ve 3.1’de Temporal). Bu değerlendirme değiştirilmiş bir Temel Puan’dır; bu nedenle CVSS-B, CVSS-BT’den daha yüksek veya daha düşük olabilir. Çevresel puana (CVSS-BTE) gelince, CVSS-BT’ye dayalı olarak belirli bir kuruluş içinde hesaplanır ve güvenlik açığı olan yazılımı kullanmanın kendine özgü koşulları için ayarlamalar yapılır.

CVSS’in Evrimi

CVSS’in 2005 ve 2007’de yayınlanan ilk iki versiyonu günümüzde neredeyse hiç kullanılmamaktadır. Modern güvenlik açıkları için hala eski CVSS puanları bulabilseniz de, CVSS 3.1 (2019) ve CVSS 4.0 (2023) en yaygın puanlama sistemleridir. Bununla birlikte, birçok yazılım satıcısı ve güvenlik açığı kayıtları 4.0 sürümünü benimsemek için acele etmiyor ve CVSS 3.1 puanları vermeye devam ediyorlar.

İlk CVSS sürümünün arkasındaki temel fikir, bir puanlama sistemi aracılığıyla güvenlik açıklarının ciddiyetini ölçmekti. Başlangıçta Temel, Zamansal ve Çevresel ölçütler olarak bir ayrım yapıldı. Bu aşamada, metinsel açıklamalar gevşek bir şekilde biçimlendirilmiş ve üç grup metrik, bağımsız olarak hesaplanmıştır.

CVSS 2.0 standartlaştırılmış bir vektör dizisi ve yeni bir mantık getirmiştir: Zorunlu ve değiştirilemez bir Temel puan, Temel puandan hesaplanan ancak değişen faktörleri hesaba katan bir Zamansal puan ve belirli kuruluşlar ve koşullar dahilinde kullanılan ve Temel veya Zamansal puandan türetilen bir Çevresel puan.

3.0 ve 3.1 sürümleri Kapsam (diğer sistem bileşenleri üzerindeki etki) kavramını eklemiştir. Ayrıca, gerekli ayrıcalıklar ve kullanıcı etkileşimi ile ilgili parametreleri daha kesin bir şekilde tanımladılar ve birçok parametrenin değerlerini genelleştirdiler ve iyileştirdiler. En önemlisi, bu sürümler CVSS’nin bir güvenlik açığının yarattığı riskleri değil, ciddiyetini ölçtüğü gerçeğini sağlamlaştırmaya çalışmıştır.

Sürüm 4.0’da, yaratıcılar CVSS metriğini, güvenlik açıklarının riske etkisinin iş düzeyinde değerlendirilmesi için daha kullanışlı hale getirmeyi amaçladılar. Ancak bu hala bir risk ölçütü değildir. Saldırı karmaşıklığı iki ayrı bileşene ayrıldı: Saldırı gereksinimleri ve saldırı karmaşıklığı. Bu, bir saldırının doğasında var olan mühendislik zorluğu ile saldırının başarılı olması için gerekli olan dış faktörler veya koşullar arasındaki farkı vurgulamaktadır. Pratikte bu, istismar edilmesi için savunmasız üründe belirli, varsayılan olmayan bir yapılandırma gerektiren bir kusurun, daha yüksek saldırı gereksinimlerine ve dolayısıyla daha düşük bir genel CVSS puanına sahip olacağı anlamına gelir.

Sıklıkla yanlış anlaşılan ve “diğer bileşenler üzerindeki etki” için sadece ‘evet’ veya “hayır” seçenekleri sunan Kapsam metriği değiştirilmiştir. Geliştiriciler, güvenlik açığının işlemlerinin hangi yönünü etkilediğini belirten daha net bir “sonraki sistemler” kavramını getirmiştir. Ek olarak, bir dizi destekleyici gösterge eklenmiştir. Bir istismarın otomatikleştirilebilirliği ve istismarın insanların fiziksel güvenliği üzerindeki etkisi buna örnek olarak verilebilir. Formüllerin kendileri de önemli değişikliklere uğramıştır. Çeşitli bileşenlerin sayısal tehdit puanına etkisi, geniş bir güvenlik açığı veri tabanı ve gerçek dünya istismar verileri kullanılarak yeniden değerlendirilmiştir.

CVSS 4.0, güvenlik açığı önceliklendirmesini nasıl değiştiriyor?

Siber güvenlik uzmanları için CVSS 4.0, günümüzün gerçeklerine daha pratik ve uygun olmayı hedeflemekte. Birçoğu yüksek CVSS puanı alan on binlerce güvenlik açığı ile karşı karşıyayız. Bu durum, birçok kuruluşta bunların derhal düzeltilmesi için otomatik olarak işaretlenmesine yol açmakta. Sorun şu ki, bu listeler sürekli büyüyor ve bir güvenlik açığını düzeltmek için ortalama süre yedi aya yaklaşıyor.

Güvenlik açıkları CVSS 3.1’den CVSS 4.0’a yeniden değerlendirildiğinde, önem derecesi 4.0 ile 9.0 arasında olan kusurlar için Temel Puan biraz artma eğiliminde. Bununla birlikte, CVSS 3.1’de kritik derecede ciddi olarak değerlendirilen güvenlik açıkları için puan genellikle değişmeden kalır veya hatta azalır. Daha da önemlisi, Zamansal ölçütler daha önce bir güvenlik açığının sayısal derecelendirmesi üzerinde çok az etkiye sahipken, Tehdit ve Çevresel ölçütlerin etkisi artık çok daha önemli. Orange Cyberdefense bunu örneklemek için bir çalışma yürüttü. Bir şirketin 8000 güvenlik açığını takip ettiğini ve BT ve güvenlik ekiplerinin Temel CVSS puanı 8’in üzerinde olan tüm hataları belirli bir zaman dilimi içinde düzeltmeleri gerektiğini düşünün. Bu 8000 gerçek dünya güvenlik açığının yüzde kaçı  – istismarın kamuya açıklığı dikkate alınarak veya alınmazsa (Zamansal/Tehdit ayarlaması) – bu kategoriye girer? Çalışma, CVSS 4.0’ın temel sürümünde, güvenlik açıklarının daha büyük bir yüzdesine 8 veya daha yüksek bir puan verdiğini ortaya koymuştur (3.1 sürümündeki %18’e kıyasla %33). Ancak, açıkların mevcudiyetine göre ayarlandığında, bu sayı önemli ölçüde düşmekte ve öncelik verilecek daha az sayıda gerçekten kritik kusur kalmaktadır (%8’e karşı %10).

Kritik, Yüksek ve aradaki her şey

“Kritik” bir güvenlik açığı ile sadece tehlikeli olan bir güvenlik açığı arasındaki fark nedir? Metin tabanlı bir ciddiyet açıklaması, spesifikasyonun bir parçasıdır, ancak güvenlik açığı açıklamasında her zaman gerekli değildir:

  • Düşük Ciddiyet: 0,1–3,9
  • Orta Ciddiyet: 4,0–6,9
  • Yüksek Ciddiyet: 7,0–8,9
  • Kritik Ciddiyet: 9,0–10,0

Uygulamada, birçok yazılım satıcısı bu metin açıklamalarına yaratıcı bir yaklaşım sergiliyor. Adları değiştirebiliyor veya CVSS’de yer almayan kendi değerlendirmelerini ve faktörlerini ekleyebiliyorlar. Bunun tipik bir örneği Haziran ayındaki Microsoft Salı Yamasıdır (özellikle CVE-2025-33064 ve CVE-2025-32710). Bunlardan ilki “Önemli”, ikincisi ise “Kritik” olarak tanımlanır ancak CVSS 3.1 puanları sırasıyla 8.8 ve 8.1’dir.

İpuçları
Başlıklarımızı gelen kutunuza almak için kaydolun
  • Diğer tüm ülkeler için