Advania logo
    Kontakta oss
    Gå tillbaka

    CVSS

    Vad är CVSS?

    CVSS (Common Vulnerability Scoring System) är en öppen, internationell standard för att bedöma hur allvarlig en säkerhetssårbarhet är. Varje sårbarhet får en poäng mellan 0,0 och 10,0, där högre poäng betyder allvarligare sårbarhet. Standarden förvaltas av organisationen FIRST och används av leverantörer, myndigheter och säkerhetsteam världen över för att tala samma språk om risk.

    Betydelsen av CVSS

    Det upptäcks tiotusentals nya sårbarheter varje år, och ingen organisation hinner åtgärda alla direkt. CVSS ger en gemensam, leverantörsoberoende måttstock som gör det möjligt att prioritera: vilka brister måste hanteras nu, och vilka kan vänta till nästa planerade underhållsfönster?

    Poängen har också fått formell betydelse. Regelverk, avtal och säkerhetsramverk hänvisar ofta till CVSS-nivåer, till exempel krav på att kritiska sårbarheter ska åtgärdas inom ett visst antal dagar. Att förstå hur poängen sätts – och vad den inte säger – är därför viktigt för alla som ansvarar för sårbarhetshantering.

    Så fungerar CVSS

    En CVSS-poäng räknas fram ur ett antal mätvärden som beskriver sårbarhetens egenskaper:

    • Angreppsvektor: kan sårbarheten utnyttjas över nätverket, eller krävs lokal eller fysisk åtkomst?
    • Komplexitet och förutsättningar: hur svårt är angreppet att genomföra, och krävs befintliga rättigheter eller användarinteraktion?
    • Påverkan: vilka konsekvenser får ett lyckat utnyttjande för konfidentialitet, riktighet och tillgänglighet?

    Resultatet blir en grundpoäng (base score) som ofta uttrycks i fyra nivåer: låg (0,1–3,9), medel (4,0–6,9), hög (7,0–8,9) och kritisk (9,0–10,0). Standarden innehåller även kompletterande mätvärden som väger in faktorer som förändras över tid – till exempel om exploateringskod finns tillgänglig – och hur sårbarheten påverkar just den egna miljön. I praktiken är det dock oftast grundpoängen som publiceras tillsammans med en CVE-identifierare.

    Användningsområden för CVSS

    Det främsta användningsområdet är prioritering i sårbarhets- och patchhanteringen: sårbarhetsskannrar, leverantörsbulletiner och säkerhetsrapporter använder CVSS för att sortera fynd efter allvarlighet. Poängen används också i rapportering till ledning och tillsynsmyndigheter, i avtalskrav mot leverantörer och som gemensamt språk i rapporter från penetrationstester.

    Viktigt att komma ihåg är att CVSS mäter sårbarhetens tekniska allvarlighet – inte den faktiska risken för just din organisation. En kritisk sårbarhet i ett isolerat testsystem kan vara mindre brådskande än en medelhög sårbarhet i ett internetexponerat affärssystem. Bäst effekt får den som kombinerar CVSS med kontext: exponering, skyddsvärde och om sårbarheten faktiskt utnyttjas aktivt.

    CVSS i ett strukturerat sårbarhetsarbete

    En poängskala gör bara nytta om den omsätts i beslut och åtgärder. Advania hjälper organisationer att bygga strukturerad sårbarhetshantering – från skanning och riskbaserad prioritering till patchrutiner och uppföljning – där CVSS är ett av flera underlag för kloka prioriteringar.

    Vanliga frågor och svar om CVSS

    Vad är skillnaden mellan CVE och CVSS?

    CVE (Common Vulnerabilities and Exposures) är ett system för att ge varje känd sårbarhet en unik identifierare, till exempel CVE-2024-12345. CVSS är skalan som beskriver hur allvarlig sårbarheten är. Förenklat: CVE är namnet, CVSS är betyget. De används nästan alltid tillsammans.

    Vad räknas som en bra eller dålig CVSS-poäng?

    Skalan går från 0,0 till 10,0 där högre är allvarligare. Sårbarheter på 9,0–10,0 klassas som kritiska och bör hanteras omgående, 7,0–8,9 som höga, 4,0–6,9 som medel och under 4,0 som låga. Många organisationer sätter åtgärdstider per nivå, till exempel kritiska inom dagar och höga inom veckor.

    Räcker CVSS för att prioritera sårbarheter?

    Nej, inte ensamt. Poängen säger inget om hur exponerat systemet är i din miljö, hur skyddsvärd informationen är eller om sårbarheten utnyttjas aktivt av angripare. Mogen sårbarhetshantering kombinerar CVSS med sådan kontext, ofta med stöd av hotunderrättelser.

    Vem sätter CVSS-poängen?

    Oftast den som publicerar sårbarheten – programvaruleverantören eller en sårbarhetsdatabas som amerikanska NVD. Eftersom bedömningen följer en öppen standard kan vem som helst räkna fram poängen ur mätvärdena, och ibland gör olika aktörer något olika bedömningar.

    Viktiga punkter att ta med sig om CVSS
    • Standardiserad skala: CVSS ger sårbarheter en poäng från 0,0 till 10,0 enligt en öppen standard.
    • Fyra nivåer: låg, medel, hög och kritisk – med kritisk från 9,0 och uppåt.
    • Namn och betyg: CVE identifierar sårbarheten, CVSS anger hur allvarlig den är.
    • Inte hela risken: poängen mäter teknisk allvarlighet, inte påverkan i just din miljö.
    • Prioriteringsverktyg: störst nytta när CVSS kombineras med exponering, skyddsvärde och hotbild.
    CYBERSÄKRA VERKSAMHETEN

    Var står er verksamhet i säkerhetsarbetet?

    Utforska våra säkerhetstjänster

    Andra relevanta ord i samma kategori