CVSS i SSVC - jak naprawdę priorytetyzować podatności
CVSS Base Score to za mało. Dlaczego Temporal i Environmental mają znaczenie, czym jest SSVC i jak podejmować decyzje o wdrażaniu poprawek.
W 2025 roku opublikowano 2 155 nowych CVE dotyczących systemów ICS - rekordowa liczba w historii. Każda z tych podatności otrzymała score CVSS. I tu zaczyna się problem: ponad 70% z nich oceniono jako High lub Critical (7.0+). Jeśli wszystko jest krytyczne - nic nie jest krytyczne. Zespół bezpieczeństwa z setkami “krytycznych” podatności i jednym oknem serwisowym w kwartale potrzebuje czegoś lepszego niż surowy numer.
Ten artykuł wyjaśnia, dlaczego CVSS Base Score sam w sobie jest niewystarczającą miarą, jak prawidłowo korzystać z pełnego CVSS (z metrykami Temporal i Environmental) i dlaczego CISA stworzyła SSVC - system, który zamiast numeru daje konkretną decyzję: odłóż, zaplanuj, przyspiesz lub działaj natychmiast.
Na końcu znajdziesz interaktywny kalkulator SSVC - działający lokalnie w przeglądarce - który pomoże Ci ocenić konkretną podatność.
CVSS - trzy grupy metryk, nie jedna
Common Vulnerability Scoring System (CVSS) to standard branżowy do oceny technicznej dotkliwości podatności. Aktualnie obowiązuje wersja 4.0 (od 2023). Problem nie leży w samym CVSS - leży w tym, jak jest używany.
Base Score - to, co wszyscy widzą
Base Score (0.0-10.0) ocenia wewnętrzną charakterystykę podatności - niezależnie od środowiska i aktualnego stanu eksploatacji:
| Metryka Base | Co mierzy | Przykład |
|---|---|---|
| Attack Vector (AV) | Skąd można zaatakować | Network / Adjacent / Local / Physical |
| Attack Complexity (AC) | Jak trudno przeprowadzić atak | Low (trywialne) / High (wymaga specyficznych warunków) |
| Privileges Required (PR) | Jakich uprawnień wymaga atak | None / Low / High |
| User Interaction (UI) | Czy potrzebna interakcja ofiary | None / Required |
| Scope (S) | Czy wpływa na inne komponenty | Unchanged / Changed |
| Confidentiality (C) | Wpływ na poufność | None / Low / High |
| Integrity (I) | Wpływ na integralność | None / Low / High |
| Availability (A) | Wpływ na dostępność | None / Low / High |
Base Score to jedyny element publikowany w NVD (National Vulnerability Database) i przez większość vendorów. Dlatego organizacje traktują go jako pełną ocenę - ale to tak, jakby oceniać pogodę wyłącznie na podstawie temperatury, ignorując wiatr, wilgotność i prognozę.
Threat Score (dawniej Temporal) - stan eksploatacji
W CVSS 4.0 grupa Temporal została uproszczona do jednej metryki:
| Metryka | Co mierzy | Wartości |
|---|---|---|
| Exploit Maturity | Aktualny stan dostępności exploita | Not Defined / Attacked / PoC / Unreported |
To kluczowa informacja: podatność z Base Score 9.8, ale bez znanego exploita, jest mniej pilna niż podatność 7.5 z aktywną eksploatacją in-the-wild.
WARNING
Jeśli nie uwzględniasz Exploit Maturity, traktujesz wszystkie podatności tak, jakby exploit już istniał. W praktyce oznacza to, że priorytetyzujesz podatności bez dostępnego exploita na równi z tymi, które są aktywnie wykorzystywane w atakach. To fundamentalny błąd prowadzący do marnowania ograniczonych zasobów.
Environmental Score - Twój kontekst
Environmental Score pozwala dostosować ocenę do konkretnego środowiska organizacji:
| Metryka | Co mierzy | Dlaczego to ważne |
|---|---|---|
| Modified Base Metrics | Nadpisanie wartości Base dla Twojego środowiska | Podatność RCE w komponencie, który u Ciebie nie jest podłączony do sieci, ma mniejszy wpływ |
| Confidentiality/Integrity/Availability Requirements | Priorytety bezpieczeństwa dla danego zasobu | W OT: Availability = High, Confidentiality = Low. W bankowości odwrotnie |
Environmental Score to element, który zamienia generyczną ocenę techniczną w kontekstową ocenę ryzyka dla Twojej organizacji.
Dlaczego CVSS Base Score sam nie wystarczy
Korzystanie wyłącznie z Base Score prowadzi do trzech systemowych problemów:
1. Inflacja krytyczności
Ponad 25 000 CVE rocznie, z czego 70%+ ocenianych jako High/Critical. Przy takiej skali “Critical” traci znaczenie - zespół nie jest w stanie wdrożyć 17 000 krytycznych poprawek w roku, szczególnie w środowisku OT z jednym oknem serwisowym na kwartał.
2. Brak kontekstu środowiskowego
Podatność RCE w Apache Struts (CVSS 9.8) jest krytyczna dla serwera webowego wystawionego do internetu. Ta sama podatność na serwerze wewnętrznym, odizolowanym za trzema firewallami, bez dostępu użytkowników zewnętrznych, ma zupełnie inny profil ryzyka. Base Score nie widzi tej różnicy.
3. Brak informacji o eksploatacji
Base Score nie mówi, czy ktoś faktycznie wykorzystuje podatność. A to jest najważniejsza informacja operacyjna - różnica między “teoretycznie możliwy atak” a “atakujący aktywnie to wykorzystują” zmienia priorytet z “zaplanuj” na “działaj teraz”.
TIP
FIRST (Forum of Incident Response and Security Teams) od lat podkreśla, że CVSS powinien być używany z wszystkimi trzema grupami metryk. Ale w praktyce 95%+ organizacji korzysta wyłącznie z Base Score, ponieważ NVD i vendorzy nie publikują Temporal i Environmental. To odpowiedzialność organizacji, żeby te metryki uzupełnić.
EPSS - prawdopodobieństwo eksploatacji
Exploit Prediction Scoring System (EPSS) to uzupełnienie CVSS opracowane przez FIRST. Zamiast mierzyć dotkliwość, EPSS odpowiada na pytanie: jakie jest prawdopodobieństwo, że ta podatność zostanie wykorzystana w ciągu najbliższych 30 dni?
| EPSS Score | Interpretacja | Działanie |
|---|---|---|
| > 0.9 (90%) | Niemal pewna eksploatacja | Natychmiastowa reakcja |
| 0.5-0.9 | Wysokie prawdopodobieństwo | Priorytet powyżej normalnego cyklu |
| 0.1-0.5 | Umiarkowane | Planowa aktualizacja |
| < 0.1 (10%) | Niskie | Standardowy cykl patchowania |
EPSS działa na danych historycznych i machine learning - analizuje cechy podatności (typ, wektor, vendor, obecność w social media) i koreluje z obserwowaną aktywnością eksploatacyjną. Model jest aktualizowany codziennie.
Kombinacja CVSS (dotkliwość) + EPSS (prawdopodobieństwo) + kontekst organizacyjny (ekspozycja, krytyczność zasobu) daje lepszy obraz niż sam CVSS Base Score. Ale wciąż wymaga manualnej interpretacji - co prowadzi nas do SSVC.
SSVC - od numeru do decyzji
Stakeholder-Specific Vulnerability Categorization (SSVC) to metodologia opracowana przez Carnegie Mellon SEI we współpracy z CISA. Fundamentalna różnica: zamiast numeru (7.5, 9.8) SSVC daje decyzję operacyjną.
Dlaczego SSVC powstało
CVSS odpowiada na pytanie “jak poważna jest ta podatność technicznie?” SSVC odpowiada na pytanie, które faktycznie zadaje CISO: “Czy i kiedy muszę wdrożyć poprawkę?”
| Cecha | CVSS | SSVC |
|---|---|---|
| Wynik | Numer 0.0-10.0 | Decyzja: Odłóż / Planowo / Poza cyklem / Natychmiast |
| Perspektywa | Generyczna (podatność w izolacji) | Kontekstowa (Twoje środowisko, Twoja misja) |
| Eksploatacja | Opcjonalna metryka (Exploit Maturity) | Centralna część decyzji |
| Ekspozycja | Brak | Uwzględniona (mała / kontrolowana / otwarta) |
| Wpływ biznesowy | Brak (tylko CIA triad) | Wpływ na misję i bezpieczeństwo ludzi |
| Automatyzowalność | Brak | Kluczowy czynnik (czy atak można zmasować?) |
| Użyteczność | Wymaga interpretacji | Bezpośrednio actionable |
Cztery punkty decyzyjne SSVC (model Deployer)
SSVC dla organizacji wdrażających systemy (Deployer) opiera się na czterech pytaniach:
1. Status eksploatacji - Czy podatność jest aktywnie wykorzystywana?
- Brak - brak dowodów eksploatacji
- Publiczny PoC - dostępny kod exploit
- Aktywna eksploatacja - potwierdzone ataki (CISA KEV, threat intelligence)
2. Ekspozycja systemu - Jak dostępny jest podatny system?
- Mała - izolowana sieć, brak dostępu z zewnątrz
- Kontrolowana - za VPN/firewallem, segmentacja
- Otwarta - dostępny z internetu
3. Automatyzowalność - Czy atakujący może zautomatyzować eksploatację?
- Nie - wymaga interakcji, specyficznych warunków
- Tak - masowa eksploatacja jest realna
4. Wpływ na ludzi i misję - Jakie konsekwencje ma udany atak?
- Niski - ograniczony wpływ operacyjny
- Średni - zakłócenie operacji
- Wysoki - poważne zakłócenie, wpływ na usługi krytyczne
- Bardzo wysoki - zagrożenie życia, uszkodzenie infrastruktury krytycznej
Cztery decyzje
| Decyzja | Znaczenie | Termin |
|---|---|---|
| Odłóż (Defer) | Podatność nie wymaga działania teraz. Monitoruj | Brak |
| Planowo (Scheduled) | Wdróż w standardowym cyklu aktualizacji | Najbliższe okno serwisowe |
| Poza cyklem (Out-of-Cycle) | Wdróż szybciej niż normalnie. Eskaluj do kierownictwa technicznego | W ciągu tygodnia |
| Natychmiast (Immediate) | Wdróż natychmiast. Eskaluj do zarządu. Kontrole kompensacyjne do czasu patcha | 24-48 godzin |
SSVC w praktyce - CISA KEV
CISA wykorzystuje SSVC do kategoryzacji podatności w katalogu Known Exploited Vulnerabilities (KEV). Każda podatność na liście KEV ma status “Active Exploitation” - co w drzewie decyzyjnym SSVC automatycznie podnosi priorytet.
W 2025 roku CISA opublikowała 29 alertów KEV dotyczących systemów ICS - każdy z nich wymagał decyzji “Poza cyklem” lub “Natychmiast” według drzewa SSVC.
Kalkulator SSVC
Poniższy formularz przeprowadzi Cię przez drzewo decyzyjne SSVC i wyda rekomendację. Wszystkie dane przetwarzane są lokalnie w Twojej przeglądarce - nic nie jest wysyłane na serwer.
Kalkulator SSVC
Dane przetwarzane lokalnie - nic nie jest wysyłane na serwerStatus eksploatacji podatności
Czy istnieją dowody na aktywne wykorzystywanie tej podatności?
CVSS + EPSS + SSVC - jak je łączyć
Żaden z tych systemów nie zastępuje pozostałych. Razem tworzą kompletny framework decyzyjny:
| System | Pytanie | Kiedy używać |
|---|---|---|
| CVSS Base | Jak poważna jest podatność technicznie? | Pierwsza ocena, skanery podatności, raportowanie |
| CVSS Temporal/Environmental | Jak poważna jest w moim kontekście? | Gdy masz czas na głębszą analizę |
| EPSS | Jakie prawdopodobieństwo eksploatacji w ciągu 30 dni? | Priorytetyzacja w dużej skali (tysiące CVE) |
| SSVC | Czy i kiedy muszę wdrożyć poprawkę? | Ostateczna decyzja operacyjna |
Rekomendowany workflow
- Skanowanie - skaner (Tenable, Qualys) identyfikuje podatności i przypisuje CVSS Base Score
- Filtrowanie - odrzuć podatności z EPSS < 0.1 (niskie prawdopodobieństwo eksploatacji)
- Wzbogacenie - sprawdź CISA KEV (aktywna eksploatacja?), EPSS (trend?), vendor advisory
- Decyzja SSVC - dla każdej pozostałej podatności przejdź drzewo decyzyjne: eksploatacja → ekspozycja → automatyzowalność → wpływ
- Działanie - wdróż poprawkę lub kontrolę kompensacyjną zgodnie z decyzją SSVC
TIP
CISA udostępnia projekt Vulnrichment - automatyczne wzbogacanie rekordów CVE o decyzje SSVC. To pozwala zautomatyzować krok 4 dla znanych podatności. Dla podatności specyficznych dla Twojego środowiska (np. 0-day znaleziony w testach penetracyjnych) nadal potrzebujesz manualnej oceny SSVC.
SSVC w środowiskach OT
W środowiskach automatyki przemysłowej SSVC jest szczególnie wartościowe, ponieważ uwzględnia kontekst, którego CVSS nie widzi:
- Ekspozycja - sterownik PLC w izolowanej sieci Level 1 (mała ekspozycja) vs serwer SCADA z dostępem webowym (otwarta) - ta sama podatność, zupełnie inna decyzja
- Automatyzowalność - atak na protokół Modbus TCP jest trywialnie automatyzowalny (brak uwierzytelniania). Atak wymagający fizycznego dostępu do portu serwisowego - nie
- Wpływ - kompromitacja stacji inżynierskiej to “wysoki wpływ”. Kompromitacja systemu SIS chroniącego reaktor to “bardzo wysoki” - zagrożenie życia
- Okno serwisowe - w IT patch wdrażasz w godzinach. W OT potrzebujesz planowanego postoju. Decyzja “Natychmiast” w OT ma inne konsekwencje operacyjne niż w IT
Więcej o zarządzaniu podatnościami w środowiskach OT w naszym dedykowanym artykule.
Checklist: budowanie procesu priorytetyzacji podatności
- Zdefiniuj źródła danych o podatnościach: skanery, CISA KEV, vendor advisories, testy penetracyjne
- Uzupełniaj CVSS o metryki Temporal (Exploit Maturity) i Environmental (krytyczność zasobu, ekspozycja)
- Zintegruj EPSS jako filtr wstępny (odrzuć < 0.1)
- Wdróż SSVC jako framework decyzyjny dla zespołu bezpieczeństwa
- Zdefiniuj SLA per decyzja SSVC: Odłóż (brak SLA), Planowo (30 dni), Poza cyklem (7 dni), Natychmiast (48h)
- Dla środowisk OT: zdefiniuj kontrole kompensacyjne na wypadek, gdy patch nie może być wdrożony w SLA
- Mierz: czas od publikacji CVE do wdrożenia patcha (MTTP - Mean Time to Patch) per decyzja SSVC
- Raportuj: ile podatności per kategoria SSVC, trendy MTTP, pokrycie kontroli kompensacyjnych