Uygulama Güvenliği

CVSS v4.0: Güvenlik Açığı Değerlendirmeleri

5 dakikada okunur
Anıl Yekta GÜLERYÜZ

Günümüzde yazılım güvenliği, teknoloji dünyasının temel taşlarından biri haline gelmiştir. Özellikle büyük sistemlerde ve altyapılarda ortaya çıkan güvenlik açıkları, ciddi veri kayıplarına, maddi zararlara ve itibar kaybına yol açabilir. Bu nedenle, güvenlik açıklarının değerlendirilmesi ve önceliklendirilmesi, şirketlerin ve geliştiricilerin odaklandığı en kritik süreçlerden biridir. Güvenlik açıklarının şiddetini ve risk seviyesini değerlendirmek için kullanılan Common Vulnerability Scoring System (CVSS), bu konuda endüstri standardı haline gelmiştir. CVSS, yıllar içinde çeşitli güncellemelerle geliştirilmiş ve son olarak 2022 yılında CVSS v4.0 sürümüyle önemli yenilikler getirilmiştir.

CVSS’in Evrimi: Kısa Bir Tarihçe

CVSS’in ilk sürümü 2005 yılında yayımlandı. Ancak o dönemde geliştirilen CVSS v1.0, geniş bir kabul görmesine rağmen ciddi eleştiriler aldı. Güvenlik açıklarının değerlendirilmesinde kullanılan metriklerin tanımları net olmadığından, puanlama ve sonuçların yorumlanması zor oluyordu. Bu sorunlar nedeniyle, 2007'de CVSS v2.0 sürümü piyasaya sürüldü ve sistemde önemli iyileştirmeler yapıldı. CVSS v2.0, daha tutarlı bir puanlama yapısı sunarak gerçek dünya güvenlik açıklarını daha hassas şekilde değerlendirdi.

2015'te CVSS v3.0 sürümü ile birlikte “Kapsam” (Scope) metriği tanıtıldı. Bu metrik, bir yazılım bileşeninde ortaya çıkan güvenlik açığının, başka bir yazılım veya donanım bileşenini nasıl etkileyebileceğini değerlendirmeye olanak tanıyordu. Ayrıca, “Gereken Ayrıcalıklar” (Privileges Required) metriği eklenerek, saldırının başarıyla gerçekleştirilmesi için gereken ayrıcalık seviyesi daha iyi tanımlandı.

CVSS v3.1 ise 2019'da yayımlandı. Bu sürüm, CVSS v3.0'da yer alan kavramları ve tanımları daha net hale getirirken, yeni metrikler veya değerler eklemedi. Ancak, CVSS’i kullanmayı daha kolay ve anlaşılır hale getirdi.

CVSS v4.0: Yenilikler ve İyileştirmeler

CVSS v4.0, 2022 yılında duyurulmuş ve CVSS v3.1’deki eksiklikleri gidermek amacıyla geliştirilmiştir. CVSS v4.0, güvenlik açıklarının değerlendirilmesinde daha hassas bir yaklaşım sunarak, özellikle operasyonel teknoloji (OT), endüstriyel kontrol sistemleri (ICS) ve nesnelerin interneti (IoT) sistemlerinde kullanılabilirliği artırmıştır.

1. Daha Hassas Temel Metrikler

CVSS v4.0, güvenlik açıklarının değerlendirilmesinde daha ince ayrıntılar sunmak amacıyla temel metriklerde önemli değişiklikler yapmıştır:

  • Saldırı Gereksinimleri (Attack Requirements): CVSS v3.1’de yer alan “Saldırı Karmaşıklığı” metriği, bu sürümde iki ayrı metrikle detaylandırılmıştır. Bu iki metrik; Saldırı Karmaşıklığı (Attack Complexity) ve Saldırı Gereksinimleri (Attack Requirements) olarak ayrılmıştır. Saldırı Karmaşıklığı, bir saldırganın güvenlik önlemlerini aşma zorluğunu ifade ederken, Saldırı Gereksinimleri, saldırının başarılı olması için gerekli olan ön koşulları tanımlar. Böylece, bir güvenlik açığının etkisinin daha doğru bir şekilde değerlendirilmesi sağlanır.
  • Kullanıcı Etkileşimi: Kullanıcı etkileşimi metriği, CVSS v4.0’da daha ayrıntılı hale getirilmiştir. Artık üç ayrı kategoride değerlendirilmektedir:
    • None (Yok): Kullanıcı etkileşimi olmadan saldırının gerçekleştirilebileceği durumları ifade eder.
    • Passive (Pasif): Saldırının başarılı olabilmesi için sınırlı, pasif kullanıcı etkileşiminin gerektiği durumları kapsar. Bu etkileşimler, kullanıcı tarafından bilinçsizce gerçekleşir.
    • Active (Aktif): Kullanıcının, saldırının başarılı olması için bilinçli bir etkileşimde bulunmasını gerektiren durumları ifade eder.

2. Kapsam Metriğinin Kaldırılması

CVSS v3.1'de yer alan “Kapsam” metriği, birçok kullanıcı tarafından karmaşık bulunuyordu ve puanlamada tutarsızlıklara yol açıyordu. CVSS v4.0, bu metriği kaldırarak, etkilenmiş ve etkilenen sistemleri Etkilenen Sistem (Vulnerable System) ve Sonraki Sistem (Subsequent System) olarak ayırdı. Bu yeni yapı, güvenlik açıklarının değerlendirilmesini daha net hale getirdi.

3. Tehdit Metrikleri

CVSS v4.0’da, tehdit metrikleri daha basit hale getirilmiştir. CVSS v3.1’de yer alan “Düzeltme Düzeyi” ve “Rapor Güvenilirliği” metrikleri kaldırılarak, yerine daha etkili bir metrik olan Sömürü Olgunluğu (Exploit Maturity) metriği eklenmiştir. Bu metrik, güvenlik açığının istismar edilebilirliğini daha iyi değerlendirmek amacıyla kullanılır.

4. Ek Metrikler

CVSS v4.0, güvenlik açıklarının değerlendirilmesine daha fazla detay katmak için yeni ek metrikler sunar:

  • Otomatikleştirilebilirlik (Automatable): Bu metrik, bir güvenlik açığının istismarının otomatik olarak gerçekleştirilip gerçekleştirilemeyeceğini değerlendirir. Bir saldırganın, keşif, silahlandırma, teslimat ve istismar aşamalarını ne kadar otomatikleştirebileceği bu metrikte analiz edilir.
  • İyileşme (Recovery): Bu metrik, bir saldırı sonrasında sistemin ne kadar hızlı toparlanabileceğini ve performansını yeniden kazanabileceğini değerlendirir. Sistemlerin otomatik olarak toparlanıp toparlanamayacağı veya manuel müdahale gerektirip gerektirmediği bu metrikle ölçülür.
  • Değer Yoğunluğu (Value Density): Bu metrik, saldırganın bir güvenlik açığını istismar ederek ne kadar değerli bir varlığa erişim sağlayabileceğini tanımlar. Sistemler, kaynaklarının yoğunluğuna göre Diffused (Dağınık) veya Concentrated (Yoğun) olarak değerlendirilir.
  • Güvenlik Açığı Müdahale Çabası (Vulnerability Response Effort): Bu metrik, bir güvenlik açığına verilen tepkinin ne kadar zor olacağını ve düzeltmenin ne kadar zaman alacağını değerlendirir.

5. Güvenlik Metrikleri

CVSS v4.0, özellikle OT, ICS ve IoT sistemlerinde insan güvenliğini etkileyebilecek güvenlik açıklarına odaklanmıştır. Bu nedenle, Güvenlik Metriği (Safety Metric) eklenmiştir. Bu metrik, güvenlik açığının insan sağlığına veya güvenliğine nasıl zarar verebileceğini değerlendirir.

CVSS v4.0'ın Önemi ve Kullanımı

CVSS v4.0, güvenlik açıklarını değerlendirirken daha fazla ayrıntı sunarak, şirketlerin ve güvenlik profesyonellerinin riskleri daha iyi anlamasına olanak tanır. Özellikle OT/ICS/IoT sistemleri gibi alanlarda, güvenlik açıklarının insan güvenliği üzerindeki etkilerini değerlendirmek için ek metrikler sunarak bu sistemlerin korunmasına daha fazla katkı sağlar. Ayrıca, tehditlerin daha kolay anlaşılması, değerlendirilmesi ve önceliklendirilmesi için yeni ve iyileştirilmiş metrikler eklenmiştir.

Gelişmiş metrikler ve daha net tanımlarla birlikte CVSS v4.0, güvenlik açıklarını değerlendirirken kullanılacak en kapsamlı sistemlerden biri haline gelmiştir. Bu sistem, sadece teknik bir güvenlik değerlendirme aracı olmanın ötesine geçerek, aynı zamanda şirketlerin iş süreçlerini ve operasyonlarını güvenli hale getirme çabalarında önemli bir rol oynar.

Common Vulnerability Scoring System
FIRST — Forum of Incident Response and Security Teams

Kaynak: Common Vulnerability Scoring System

cvss-v40-presentation
cvss-v40-presentation.pdf
2 MB
download-circle

Common Vulnerability Scoring System Version 4.0 Calculator
FIRST — Forum of Incident Response and Security Teams

CVSS V4.0 Hesaplama

Uygulama Güvenliği
Anıl Yekta GÜLERYÜZ

Anıl Yekta GÜLERYÜZ

Bilgi Sistem Yönetimi ve ERP alanında çalışmış, .NET projeleri geliştirerek süreçleri otomatikleştirmiştir. Şu anda yüksek lisans yapıyor.

Önceki Yazı

OWASP (Open Web Application Security Project) Nedir?
Sonraki Yazı

Azure DevOps ve CI / CD ?

Benzer Yazılar

yekta.web.tr
Takip Et