Environmental Metrics

Queste metriche dello standard CVSS consentono all’analista di personalizzare il punteggio CVSS a seconda, per l’organizzazione, dell’importanza della risorsa IT interessata alla vulnerabilità, misurato in termini di controlli di sicurezza complementari, riservatezza, integrità e disponibilità.

Security Requirements (CR, IR, AR)

L’effetto del punteggio ambientale è costituito da dei modificatori che vengono valutati con le corrispondenti metriche Base. Cioè, questi parametri modificano il punteggio già assegnato sulle caratteristiche di riservatezza, integrità e disponibilità.
Ad esempio, il modificatore impatto sulla riservatezza (MC) è aumentato di peso se il requisito di riservatezza (CR) è alto. Allo stesso modo, il peso della metrica impatto riservatezza è diminuito se il requisito riservatezza è basso. Questo stesso processo viene applicato ai requisiti integrità e disponibilità.

Modified Basic Metric

Queste metriche consentono all’analista di rideterminare i parametri in base alle modifiche che sono state fatte all’interno dell’ambiente. Cioè, se un ambiente ha apportato modifiche generali per il software interessato che si differenzia in modo che possa modificare, per un attacco, la sfruttabilità, l’ambito, o l’impatto, è possibile far riflettere questo tramite un appropriato punteggio ambientale.
Il pieno effetto sul punteggio ambientale è determinato dai parametri di base corrispondenti.
Ad esempio, la configurazione di default per un componente vulnerabile può essere quello di eseguire un servizio di ascolto con i privilegi di amministratore, e potrebbe concedere la possibiltà di effettuare un attacco che comprometta riservatezza, integrità e disponibilità del servizio.
Nell’ambiente dell’analista, quel servizio è in esecuzione con privilegi ridotti; in tal caso, i modificatori possono essere impostato su Basso ed abbassare il punteggio della vulnerabilità.