Вышел новый стандарт оценки уязвимостей CVSS 4.0

Объединяющая более 650 организаций из более чем 100 стран команда FIRST (Форум команд реагирования на инциденты и безопасности, Forum of Incident Response and Security Teams, FIRST) выпустила новый стандарт оценки уязвимостей Common Vulnerability Scoring System 4.0 по прошествии восьми лет после CVSS v3.0 (и 18 — после CVSS версии 1 в феврале 2005).

Стандарт Common Vulnerability Scoring System обеспечивает способ определения основных характеристик уязвимости безопасности и выдает числовой рейтинг, отражающий техническую серьезность уязвимости для информирования и предоставления рекомендаций.

CVSS 4.0 был представлен еще в июне во ходе 35-й ежегодной конференции в Монреале как некое изменение правил игры в киберсекторе и попытка устранить двусмысленность в оценке серьезности последующих за эксплуатацией уязвимостей проблем.

Обновленный стандарт предлагает более точную детализацию базовых показателей для потребителей, устраняет неоднозначность оценки последующих уровней и повышает эффективность оценки требований безопасности, специфичных для конкретной среды, а также компенсирующих мер контроля.


Вот список ключевых изменений, внесенных в стандарт CVSS v4.0:

  1. Улучшенная детализация базовых метрик, позволяющая пользователям получать более точную оценку уязвимостей.
  2. Устранение неоднозначности в оценках, которые делаются на основе последующего использования оценок уязвимостей.
  3. Упрощение метрик угроз, чтобы облегчить понимание и использование стандарта.
  4. Повышение эффективности оценки с учетом специфических требований безопасности окружающей среды и компенсирующих контролей.
  5. Введение дополнительных метрик для оценки уязвимостей:
    • Автоматизация (подверженность червям);
    • Восстановление (устойчивость системы после эксплуатации уязвимости);
    • Ценность (значимость ресурса, на который влияет уязвимость);
    • Усилия по реагированию на уязвимость (необходимые ресурсы для решения проблемы);
    • Оперативность поставщика (скорость, с которой поставщик ПО отреагирует на уязвимость).
  6. Дополнительная применимость стандарта к операционным технологиям (Operational Technology, OT), промышленным системам управления (Industrial Control System, ICS) и интернету вещей (Internet of Things, IoT), с добавлением метрик и значений безопасности.
  7. Введение новой номенклатуры для классификации уязвимостей:
    • CVSS-B (Base);
    • CVSS-BT (Base + Threat);
    • CVSS-BE (Base + Environmental);
    • CVSS-BTE (Base + Threat + Environmental).

При этом метрики и значения безопасности добавлены как в дополнительные группы показателей, так и в группы показателей окружающей среды.

Полный список всех изменений, внесённых в стандарт CVSS v4.0, включая более точное разграничение посредством новых базовых метрик/значений и улучшенных метрик воздействия, доступен на этой странице.

Идея, по словам FIRST, состоит в том, чтобы укрепить концепцию, согласно которой CVSS — это не просто базовый показатель, а качественный рейтинг серьезности (например, низкий, средний, высокий и критический).

Базовая оценка CVSS должна быть дополнена анализом окружающей среды и атрибутами, которые могут меняться с течением времени (показатели угроз), чтобы помочь организациям правильно расставить приоритеты в процессах управления уязвимостями и обеспечить защиту от кибератак.

Таким образом, представлена новая номенклатура для подсчета оценок CVSS с использованием комбинации Base (CVSS-B), Base + Threat (CVSS-BT), Base + Environmental (CVSS-BE), and Base + Threat + Environmental (CVSS-BTE).

Последний выпуск знаменует собой значительный шаг вперед с дополнительными возможностями, которые имеют решающее значение для команд, которым важно использовать аналитику угроз и показатели окружающей среды для точной оценки.

С заботой о вашей безопасности, команда Origin Security

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *