Num mundo cada vez mais digital, falar de vulnerabilidades é falar de risco. Mas afinal, como é que se determina se uma falha de segurança é “grave” ou apenas “moderada”? A resposta está nos sistemas de classificação.
Uma vulnerabilidade é uma falha, fraqueza ou erro existente num sistema, software, equipamento ou processo que pode ser explorado para provocar danos. Essa exploração pode permitir, por exemplo, o acesso não autorizado a informação, a interrupção de serviços ou o controlo indevido de sistemas.
CVSS: a escala que mede a gravidade da vulnerabilidade
O método mais utilizado para classificar vulnerabilidades é o CVSS (Common Vulnerability Scoring System), mantido pelo FIRST.
Este sistema atribui uma pontuação entre 0 e 10, que indica o nível de severidade da falha:
- 0.1 a 3.9 – Baixa
- 4.0 a 6.9 – Média
- 7.0 a 8.9 – Alta
- 9.0 a 10.0 – Crítica
Quanto maior o valor, maior o risco potencial para sistemas e organizações.
Métricas consideradas no CVSS
A pontuação base resulta da combinação de vários fatores:
Métricas Base – Avaliam características intrínsecas da vulnerabilidade:
- Attack Vector (AV) – Local, rede, físico, etc.
- Attack Complexity (AC) – Fácil ou complexa de explorar
- Privileges Required (PR) – Necessita autenticação?
- User Interaction (UI) – Precisa que o utilizador faça algo?
- Impacto:
- Confidencialidade (C)
- Integridade (I)
- Disponibilidade (A)
Exemplo de uma classificação: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- AV:N – Attack Vector: Network
- AC:L – Attack Complexity: Low
- PR:N – Privileges Required: None
- UI:N – User Interaction: None
- S:U – Scope: Unchanged
- C:H – Confidentiality: High
- I:H – Integrity: High
- A:H – Availability: High
Métricas Temporais
- Existência de exploit público
- Nível de correção disponível
Métricas Ambientais
- Impacto específico para a organização afetada
CVE: o “ID” da vulnerabilidade
Cada vulnerabilidade conhecida recebe um identificador único no formato:
CVE-ANO-NÚMERO
O sistema CVE (Common Vulnerabilities and Exposures) é gerido pela organização MITRE.
A classificação de vulnerabilidades ajuda empresas e administradores de sistemas a definir prioridades. Uma vulnerabilidade crítica deve ser corrigida de imediato. Já uma falha classificada como média pode ser integrada num ciclo normal de atualização.