CVSS: как быстро оценить критичность уязвимости

CVSS (Common Vulnerability Scoring System) — это международный стандарт, позволяющий за 5‑10 секунд определить критичность уязвимости по шкале от 0 до 10, используя три группы метрик: базовую, временную и экологическую. Оценка в баллах даёт возможность быстро сравнить риски и принять решение о приоритетах исправления.

Как работает базовый балл CVSS?

Базовый балл CVSS рассчитывается из семи метрик, отражающих свойства уязвимости, такие как сложность эксплуатации и потенциальный ущерб.

• 1. Attack Vector (AV) – откуда может быть проведена атака (Network, Adjacent, Local, Physical).
• 2. Attack Complexity (AC) – насколько сложна эксплуатация (Low, High).
• 3. Privileges Required (PR) – какие привилегии нужны атакующему (None, Low, High).
• 4. User Interaction (UI) – требуется ли участие пользователя (None, Required).
• 5. Scope (S) – меняется ли граница безопасности после эксплуатации (Unchanged, Changed).
• 6. Confidentiality (C), Integrity (I), Availability (A) – степень воздействия на конфиденциальность, целостность и доступность (None, Low, High).

Каждая метрика имеет числовой коэффициент; их произведение и последующая калибровка дают значение от 0 до 10. В 2026 году средний базовый балл для уязвимостей в веб‑приложениях составил **7.4**, что указывает на высокий уровень риска.

Почему важен временный балл CVSS?

Временный балл учитывает факторы, которые могут изменяться со временем, такие как наличие эксплойтов или степень исправления.

• 1. Exploit Code Maturity (E) – наличие готового кода эксплойта (Unproven, Proof‑of‑Concept, Functional, High).
• 2. Remediation Level (RL) – степень готовности исправления (Official Fix, Temporary Fix, Workaround, Unavailable).
• 3. Report Confidence (RC) – достоверность отчёта (Unknown, Reasonable, Confirmed).

Если в 2026 году для конкретной уязвимости появился функциональный эксплойт (E = Functional), временный балл может вырасти на 0.3‑0.5 пункта, поднимая общий CVSS‑балл до 9.2 и переводя уязвимость в категорию «критическая».

Что включают экологические метрики CVSS 2026 года?

Экологические метрики отражают влияние уязвимости на конкретную организацию, учитывая её инфраструктуру и бизнес‑процессы.

• 1. Modified Attack Vector (MAV) – адаптированный вектор атаки под конкретную среду.
• 2. Modified Scope (MS) – изменённый охват после учёта внутренних сетей.
• 3. Confidentiality Requirement (CR), Integrity Requirement (IR), Availability Requirement (AR) – приоритеты конфиденциальности, целостности и доступности (Low, Medium, High).

Для крупного банка в 2026 году параметры CR = High, IR = Medium, AR = High могут добавить к общему баллу до +1.0 пункта, превращая уязвимость с базовым баллом 6.8 в 7.8 — это уже «высокий» риск, требующий немедленного реагирования.

Как правильно интерпретировать полученный CVSS‑балл?

Полученный CVSS‑балл разбивается на четыре категории: 0‑3.9 — низкий, 4.0‑6.9 — средний, 7.0‑8.9 — высокий, 9.0‑10 — критический.

• • Низкий (0‑3.9): уязвимость редко используется, исправление может быть отложено.
• • Средний (4‑6.9): требует планового исправления в течение 30‑60 дней.
• • Высокий (7‑8.9): необходимо исправить в течение 7‑14 дней; в 2026 году 80 % организаций ускоряют патч‑менеджмент до 5 дней для таких баллов.
• • Критический (9‑10): немедленное реагирование, часто в течение 24 часов; экономический ущерб от такой уязвимости может превысить **3 млн руб** за один инцидент.

Важно сопоставлять балл с реальными бизнес‑рисками: даже «средний» балл в системе, где доступ к конфиденциальным данным имеет каждый пользователь, может стать «высоким» после применения экологических метрик.

Что делать, если уязвимость получила высокий CVSS‑балл?

Если уязвимость классифицируется как **высокая** или **критическая**, следует выполнить три ключевых шага.

• 1. Идентифицировать затронутые активы: составить список серверов, приложений и сервисов, где присутствует уязвимость.
• 2. Оценить экономический риск: умножить балл на коэффициент потенциального ущерба (например, 9 × 350 000 руб = 3 150 000 руб).
• 3. Внедрить временное решение (workaround) в течение 24 часов, а затем применить официальный патч в течение 48 часов.

Для контроля процесса используйте таблицу RACI: ответственный (R), исполнитель (A), консультируемый (C), информируемый (I). В 2026 году 65 % компаний, применяющих такой подход, снижают среднее время устранения уязвимости с 12 до 3 дней.

Воспользуйтесь бесплатным инструментом CVSS Calculator на toolbox-online.ru — работает онлайн, без регистрации.