CVSS Nedir? Güvenlik Açıkları Nasıl Puanlanır? (Basit Anlatım)
Meta Açıklama
CVSS nedir, ne işe yarar? Güvenlik açıkları nasıl puanlanır? 0–10 arası CVSS skorları ne anlama gelir? Herkesin anlayacağı şekilde öğrenin.
🧠 CVSS Nedir?
İnternette kullandığımız programlar, uygulamalar ve işletim sistemleri bazen fark edilmeyen hatalar içerir. Bu hatalara güvenlik açığı denir.
İşte bu açıkların ne kadar tehlikeli olduğunu anlamak için kullanılan sistemin adı:
👉 CVSS (Common Vulnerability Scoring System)
Bu sistem, her güvenlik açığına 0 ile 10 arasında bir puan verir.
CVSS Skorları Ne Anlama Gelir?
CVSS puanı aslında bir risk göstergesidir:
0.0 – 3.9 → Düşük risk
4.0 – 6.9 → Orta risk
7.0 – 8.9 → Yüksek risk
9.0 – 10 → Kritik risk 🚨
Örneğin:
9.8 puanlı bir açık, sistemin uzaktan ele geçirilebileceği anlamına gelebilir.
CVSS Puanı Nasıl Hesaplanır?
Bu puan basit bir tahmin değildir. Birkaç önemli faktöre göre hesaplanır:
🔹 1. Saldırı Nasıl Yapılıyor?
İnternet üzerinden mi?
Yoksa fiziksel erişim mi gerekiyor?
👉 Uzaktan yapılan saldırılar daha tehlikelidir.
🔹 2. Saldırı Ne Kadar Zor?
Tek tık mı?
Yoksa teknik bilgi mi gerekiyor?
👉 Kolay saldırılar daha yüksek puan alır.
🔹 3. Etkisi Ne Kadar Büyük?
Sadece küçük bir hata mı?
Yoksa tüm sistem ele geçiriliyor mu?
👉 Etki büyüdükçe puan artar.
🔄 Güncellemeler Neden Bu Kadar Önemli?
Bilgisayarında veya telefonunda gördüğün güncellemeler aslında şunu yapar:
👉 Güvenlik açıklarını kapatır.
Özellikle:
Windows güncellemeleri
Tarayıcı güncellemeleri
Mobil uygulama güncellemeleri
çoğu zaman yüksek CVSS skoruna sahip açıkları düzeltir.
CVSS 4.0 ile Neler Değişiyor?
Yeni nesil CVSS sürümü ile birlikte:
Daha detaylı analiz yapılabiliyor
Saldırının gerçek hayattaki etkisi daha iyi ölçülüyor
Ek değerlendirme kriterleri ekleniyor
Yani artık sadece “puan” değil, daha kapsamlı risk analizi yapılabiliyor.
Gerçek Hayattan Örnek
Diyelim ki:
Bir açık var
İnternetten erişilebiliyor
Şifre gerekmiyor
Tüm sistemi ele geçiriyor
👉 Bu açık büyük ihtimalle 9.0+ (kritik) seviyesindedir.
Sonuç: CVSS Neden Önemli?
CVSS sayesinde:
Şirketler hangi açığı önce kapatacağını bilir
Uzman olmayan kullanıcılar bile riskleri anlayabilir
Güncellemelerin önemi ortaya çıkar
Son Tavsiye
“Sonra güncellerim” dediğin bir yazılım,
arka planda ciddi bir güvenlik açığı barındırıyor olabilir.
👉 Güncelleme = Güvenlik
TABLO OLARAK BAKARSAK
Tablo 1: Güvenlik Açığı Ciddiyet Puanlaması
(Sistem, güvenlik açıklarına 0'dan 10'a kadar b
ir sayısal değer atar. Sonuç değerleri anlaşılmasını kolaylaştırmak için kategorilere ayrılmıştır.)
| Puan Aralığı | Tehlike Sınıflandırması |
|---|---|
| 0 | Yok |
| 0,1 – 3,9 | Düşük |
| 4,0 – 6,9 | Orta |
| 7,0 – 8,9 | Yüksek |
| 9,0 – 10,0 | Kritik |
Tablo 2: Puanlamayı Belirleyen Ana Kriterler
(Puan hesaplanırken temelde iki ana soru sorulur.)
| Ana Soru (Metrik) | Neye Bakılır? (Alt Kriterler) | Anlamı Nedir? |
|---|---|---|
| 1. İstismar Edilebilirlik*(Saldırı ne kadar kolay?)* | • Erişim Türü (AV)• Erişim Zorluğu / Karmaşıklığı (AC)• Kimlik Doğrulama Engelleri (AU) | Bir saldırganın bu açığı kendi lehine kullanabilmesi için hangi engelleri aşması gerektiğini ölçer. |
| 2. Kullanımın Etkileri*(Saldırı başarılı olursa ne olur?)* | • Gizlilik (C)• Bütünlük (I)• Kullanılabilirlik (A) | Başarılı bir saldırı yaşanması halinde verilerin ve sistemin göreceği hasarın boyutunu (etkiyi) ölçer. |
Tablo 3: Sık Karıştırılan İki Kavram (CVSS ve CVE)
(Kısaltmalar birbirine benzediği için sıkça karıştırılır ancak görevleri tamamen farklıdır.)
| Kısaltma | Görevi Nedir? | Güvenlik Puanı/Değerlendirmesi Yapar mı? |
|---|---|---|
| CVSS | Güvenlik açığının ne kadar ciddi (tehlikeli) olduğunu hesaplayarak sayısal bir değer (0-10) üretir. | Evet |
| CVE | Güvenlik açıklarının birden fazla kez listelenmesini engellemek için kullanılan standartlaştırılmış bir isimlendirme (tanımlama) sistemidir. | Hayır, değerlendirme yapmaz. |
Tablo 4: Puanlama Sisteminin (CVSS) Yıllar İçindeki Gelişimi
(Standart, yıllar içinde güvenlik açıklarını daha isabetli değerlendirebilmek için geliştirilmiştir.)
| Çıkış Tarihi | Sürüm | Yenilikler |
|---|---|---|
| Şubat 2005 | CVSS 1.0 | Standartlaştırma konusundaki ilk girişimdir. |
| Haziran 2007 | CVSS 2 | Değerlendirmeler ilk sürüme göre daha doğru hale getirilmiş ve geniş pratik değerlendirmeler başlamıştır. |
| Haziran 2015 | CVSS 3 | Güvenlik açığının "kapsamı" değerlendirme kriterlerine dâhil edilmiş ve yetkilendirmeler hesaba katılmıştır. |
| 2023 Sonu | CVSS 4.0 | Eklenen yeni kavramlar ve geliştirilmiş metrikler sayesinde çok daha isabetli ve doğru değerlendirmelere olanak tanınmıştır. |