CVSS

CVSS staat voor Common Vulnerability Scoring System. Het is een open en gestandaardiseerd framework waarmee de ernst van kwetsbaarheden in software en hardware wordt beoordeeld. CVSS kent aan elke kwetsbaarheid een numerieke score toe op een schaal van 0 tot 10, waarbij 10 de hoogste ernst aangeeft. Het systeem wordt beheerd door FIRST (Forum of Incident Response and Security Teams) en wordt wereldwijd gebruikt als de standaard voor vulnerability scoring.

De huidige versie is CVSS v4.0, uitgebracht in november 2023. Deze versie biedt meer gedetailleerde beoordelingsmogelijkheden dan zijn voorganger CVSS v3.1. Organisaties gebruiken CVSS-scores om te bepalen welke kwetsbaarheden de hoogste prioriteit hebben bij patch management en om risicobeslissingen te onderbouwen. De score vertaalt zich naar een ernst-classificatie: geen (0), laag (0,1-3,9), medium (4,0-6,9), hoog (7,0-8,9) en kritiek (9,0-10,0).

Waarom is CVSS belangrijk?

Zonder een gestandaardiseerd scoresysteem zou elke leverancier, onderzoeker en organisatie kwetsbaarheden op een eigen manier beoordelen. CVSS biedt een gemeenschappelijke taal waarmee securityprofessionals objectief over de ernst van kwetsbaarheden communiceren. Dit is essentieel voor effectief vulnerability management.

Voor Nederlandse organisaties is CVSS direct relevant bij het prioriteren van patches en updates. Wanneer het NCSC een beveiligingsadvies publiceert, wordt de CVSS-score vermeld zodat organisaties snel kunnen inschatten hoe urgent actie is. Een kwetsbaarheid met een CVSS-score van 9,8 vereist onmiddellijke actie, terwijl een score van 3,2 meer ruimte laat voor planning.

Daarnaast gebruiken compliance-frameworks en auditors CVSS-scores om te beoordelen of een organisatie haar kwetsbaarheden adequaat beheert. Als je kunt aantonen dat je kritieke kwetsbaarheden (CVSS 9,0+) binnen 24 uur patcht, laat dat een volwassen beveiligingsproces zien.

In de Nederlandse praktijk wordt CVSS ook gebruikt door leveranciers van penetratietesten en vulnerability assessments. Wanneer een pentest-rapport kwetsbaarheden rapporteert, worden deze standaard voorzien van een CVSS-score zodat de opdrachtgever direct kan prioriteren. Organisaties die werken met een Information Security Management System (ISMS) volgens ISO 27001 gebruiken CVSS-scores als input voor hun risicobehandelplannen. De score biedt een objectieve, reproduceerbare maatstaf die onafhankelijk is van de individuele beoordelaar, wat de consistentie van risicobeslissingen verhoogt.

Hoe pas je CVSS toe?

CVSS v4.0 bestaat uit vier metrieken-groepen die samen de totaalscore bepalen:

De Base Score beschrijft de intrinsieke eigenschappen van een kwetsbaarheid die niet veranderen over tijd. Hierin worden factoren meegewogen zoals de aanvalsvector (netwerk, aangrenzend, lokaal of fysiek), de complexiteit van de aanval, of er speciale rechten nodig zijn en of gebruikersinteractie vereist is. CVSS v4.0 voegt hier de metric Attack Requirements aan toe voor extra nuance. Deze metric maakt onderscheid tussen kwetsbaarheden die onder alle omstandigheden exploiteerbaar zijn en kwetsbaarheden die alleen in specifieke configuraties of race conditions kunnen worden misbruikt. Dat levert een nauwkeurigere score op dan eerdere versies.

De Threat Score weerspiegelt actuele dreigingsinformatie. Wordt de kwetsbaarheid actief misbruikt in het wild? Is er een publiek beschikbare exploit? Deze dynamische component helpt bij het prioriteren op basis van daadwerkelijk risico in plaats van alleen theoretische ernst.

De Environmental Score past de beoordeling aan op jouw specifieke omgeving. Een kwetsbaarheid in een systeem dat niet bereikbaar is vanaf internet heeft voor jouw organisatie een lager risico dan de Base Score suggereert. Door je eigen omgevingsfactoren mee te wegen, krijg je een realistischer beeld.

De Supplemental Score biedt aanvullende context zoals de impact op beschikbaarheid, veiligheid en recovery-mogelijkheden. In de praktijk gebruik je een vulnerability scanner die CVSS-scores automatisch berekent en presenteert, zodat je securityteam zich kan richten op de interpretatie en actie in plaats van handmatige berekeningen.

CVSS in de praktijk

Stel dat je vulnerability scanner een kwetsbaarheid meldt in je webserver met een CVSS Base Score van 8,6 (hoog). De kwetsbaarheid maakt remote code execution mogelijk via het netwerk zonder authenticatie. Je controleert de Threat Score en ziet dat er actieve exploitatie is waargenomen. Dat verhoogt de urgentie aanzienlijk.

Vervolgens beoordeel je de Environmental Score. De betreffende webserver staat in een gedemilitariseerde zone (DMZ) met beperkte toegang tot interne systemen. De potentiele impact op je kernnetwerk is daardoor lager dan bij een intern systeem. Toch besluit je om direct te patchen vanwege de actieve exploitatie.

In grotere organisaties worden CVSS-scores gecombineerd met asset management om een risico-gewogen overzicht te genereren. Door elke asset te voorzien van een bedrijfskritiekheidswaarde en deze te vermenigvuldigen met de CVSS-score, ontstaat een geprioriteerde lijst die rekening houdt met zowel de technische ernst als de bedrijfsimpact. Vulnerability management-platforms zoals Qualys, Tenable en Rapid7 bieden deze functionaliteit standaard aan. Dit scenario illustreert hoe CVSS meer is dan alleen een getal. De combinatie van Base, Threat en Environmental scores geeft je een genuanceerd beeld waarmee je weloverwogen prioriteiten stelt. Organisaties die alleen naar de Base Score kijken, missen deze context en lopen het risico om hun middelen verkeerd in te zetten.

Een belangrijke kanttekening: CVSS meet de technische ernst van een kwetsbaarheid, niet het bedrijfsrisico. Een kwetsbaarheid met een lage CVSS-score in een bedrijfskritisch systeem kan een groter risico vormen dan een hoge score in een testsysteem. Combineer CVSS daarom altijd met je eigen risicoanalyse. In de praktijk hanteren veel securityteams een gecombineerde risicomatrix waarin de CVSS-score wordt gewogen tegen factoren zoals de waarde van het getroffen asset, de mate van blootstelling aan het internet en de aanwezigheid van compenserende maatregelen zoals netwerksegmentatie of web application firewalls.

Veelgestelde vragen over CVSS

Wat is het verschil tussen CVSS v3.1 en v4.0?

CVSS v4.0 biedt meer granulariteit met nieuwe metrics zoals Attack Requirements en een verbeterde impact-beoordeling op aangrenzende systemen. De Threat-metrieken zijn vereenvoudigd en de Environmental Score is nauwkeuriger. Daarnaast is de Supplemental Score toegevoegd voor extra context over veiligheids- en recovery-impact.

Is een CVSS-score van 10 altijd het gevaarlijkst?

Een score van 10 geeft de hoogste technische ernst aan, maar het daadwerkelijke risico hangt af van je omgeving. Een kwetsbaarheid met score 10 in een systeem zonder netwerkverbinding vormt minder risico dan een score 7 in een publiek bereikbare applicatie. Gebruik Environmental metrics voor context.

Wie bepaalt de CVSS-score van een kwetsbaarheid?

De initiële Base Score wordt doorgaans berekend door de leverancier of de onderzoeker die de kwetsbaarheid ontdekt. Het NIST National Vulnerability Database (NVD) publiceert en valideert scores voor gepubliceerde CVE's. Je kunt de score aanpassen met Environmental metrics voor je eigen situatie. In Nederland publiceert het NCSC regelmatig beveiligingsadviezen met CVSS-scores, specifiek afgestemd op de relevantie voor Nederlandse organisaties en kritieke infrastructuur.

Moet ik alle kwetsbaarheden met een hoge CVSS-score direct patchen?

Idealiter wel, maar in de praktijk is dat niet altijd haalbaar. Prioriteer op basis van een combinatie van CVSS-score, actieve exploitatie (Threat Score), bereikbaarheid van het systeem en bedrijfskritiekheid. Begin altijd met kritieke kwetsbaarheden (9,0+) in extern bereikbare systemen.

Meer weten over kwetsbaarheidsbeheer? Bekijk Patch & Vulnerability Management op IBgidsNL.