Объединяющая более 650 организаций из более чем 100 стран команда FIRST (Форум команд реагирования на инциденты и безопасности, Forum of Incident Response and Security Teams, FIRST) выпустила новый стандарт оценки уязвимостей Common Vulnerability Scoring System 4.0 по прошествии восьми лет после CVSS v3.0 (и 18 — после CVSS версии 1 в феврале 2005).
Стандарт Common Vulnerability Scoring System обеспечивает способ определения основных характеристик уязвимости безопасности и выдает числовой рейтинг, отражающий техническую серьезность уязвимости для информирования и предоставления рекомендаций.
CVSS 4.0 был представлен еще в июне во ходе 35-й ежегодной конференции в Монреале как некое изменение правил игры в киберсекторе и попытка устранить двусмысленность в оценке серьезности последующих за эксплуатацией уязвимостей проблем.
Обновленный стандарт предлагает более точную детализацию базовых показателей для потребителей, устраняет неоднозначность оценки последующих уровней и повышает эффективность оценки требований безопасности, специфичных для конкретной среды, а также компенсирующих мер контроля.
Вот список ключевых изменений, внесенных в стандарт CVSS v4.0:
- Улучшенная детализация базовых метрик, позволяющая пользователям получать более точную оценку уязвимостей.
- Устранение неоднозначности в оценках, которые делаются на основе последующего использования оценок уязвимостей.
- Упрощение метрик угроз, чтобы облегчить понимание и использование стандарта.
- Повышение эффективности оценки с учетом специфических требований безопасности окружающей среды и компенсирующих контролей.
- Введение дополнительных метрик для оценки уязвимостей:
- Автоматизация (подверженность червям);
- Восстановление (устойчивость системы после эксплуатации уязвимости);
- Ценность (значимость ресурса, на который влияет уязвимость);
- Усилия по реагированию на уязвимость (необходимые ресурсы для решения проблемы);
- Оперативность поставщика (скорость, с которой поставщик ПО отреагирует на уязвимость).
- Дополнительная применимость стандарта к операционным технологиям (Operational Technology, OT), промышленным системам управления (Industrial Control System, ICS) и интернету вещей (Internet of Things, IoT), с добавлением метрик и значений безопасности.
- Введение новой номенклатуры для классификации уязвимостей:
- CVSS-B (Base);
- CVSS-BT (Base + Threat);
- CVSS-BE (Base + Environmental);
- CVSS-BTE (Base + Threat + Environmental).
При этом метрики и значения безопасности добавлены как в дополнительные группы показателей, так и в группы показателей окружающей среды.
Полный список всех изменений, внесённых в стандарт CVSS v4.0, включая более точное разграничение посредством новых базовых метрик/значений и улучшенных метрик воздействия, доступен на этой странице.
Идея, по словам FIRST, состоит в том, чтобы укрепить концепцию, согласно которой CVSS — это не просто базовый показатель, а качественный рейтинг серьезности (например, низкий, средний, высокий и критический).
Базовая оценка CVSS должна быть дополнена анализом окружающей среды и атрибутами, которые могут меняться с течением времени (показатели угроз), чтобы помочь организациям правильно расставить приоритеты в процессах управления уязвимостями и обеспечить защиту от кибератак.
Таким образом, представлена новая номенклатура для подсчета оценок CVSS с использованием комбинации Base (CVSS-B), Base + Threat (CVSS-BT), Base + Environmental (CVSS-BE), and Base + Threat + Environmental (CVSS-BTE).
Последний выпуск знаменует собой значительный шаг вперед с дополнительными возможностями, которые имеют решающее значение для команд, которым важно использовать аналитику угроз и показатели окружающей среды для точной оценки.
С заботой о вашей безопасности, команда Origin Security
