Το Forum of Incident Response and Security Teams (FIRST) κυκλοφόρησε επίσημα το CVSS v4.0, την επόμενη γενιά του προτύπου του Common Vulnerability Scoring System, οκτώ χρόνια μετά το CVSS v3.0, την προηγούμενη κύρια έκδοση.
Το CVSS είναι ένα τυποποιημένο πλαίσιο για την αξιολόγηση της σοβαρότητας των τρωτών σημείων ασφαλείας λογισμικού που χρησιμοποιείται για την εκχώρηση αριθμητικών βαθμολογιών ή ποιοτικής αναπαράστασης (όπως χαμηλή, μεσαία, υψηλή και κρίσιμη) με βάση την εκμεταλλευσιμότητα, τον αντίκτυπο στην εμπιστευτικότητα, την ακεραιότητα, τη διαθεσιμότητα και τα απαιτούμενα προνόμια, με υψηλότερα βαθμολογίες που υποδηλώνουν πιο σοβαρές ευπάθειες.
Βοηθά στην ιεράρχηση των απαντήσεων σε απειλές ασφαλείας, καθώς παρέχει έναν συνεπή τρόπο αξιολόγησης του αντίκτυπου των τρωτών σημείων και σύγκρισης κινδύνων σε διαφορετικά συστήματα και λογισμικό.
“Το αναθεωρημένο πρότυπο προσφέρει λεπτότερη ευκρίνεια στις βασικές μετρήσεις για τους καταναλωτές, αφαιρεί την ασάφεια βαθμολόγησης κατάντη, απλοποιεί τις μετρήσεις απειλών και ενισχύει την αποτελεσματικότητα της αξιολόγησης των απαιτήσεων ασφαλείας για το περιβάλλον καθώς και των αντισταθμιστικών ελέγχων”, ανέφερε η FIRST.
«Επιπλέον, έχουν προστεθεί αρκετές συμπληρωματικές μετρήσεις για την αξιολόγηση ευπάθειας, συμπεριλαμβανομένων των Automatable (wormable), Recovery (resilience), Value Density, Vulnerability Response Fort και Provider Urgency.
“Μια βασική βελτίωση στο CVSS v4.0 είναι επίσης η πρόσθετη δυνατότητα εφαρμογής σε OT/ICS/IoT, με μετρήσεις ασφαλείας και τιμές που προστίθενται τόσο στις συμπληρωματικές όσο και στις περιβαλλοντικές ομάδες μετρήσεων.”
Αυτή η τελευταία έκδοση προσθέτει επίσης μια νέα ονοματολογία, με βαθμολογίες σοβαρότητας Base (CVSS-B), Base + Threat (CVSS-BT), Base + Environmental (CVSS-BE) και Base + Threat + Environmental (CVSS-BTE).
Η πλήρης λίστα όλων των αλλαγών που αποστέλλονται με το πρότυπο CVSS v4.0, συμπεριλαμβανομένης της λεπτομερέστερης ευκρίνειας μέσω νέων μετρήσεων/τιμών βάσης και καλύτερες μετρήσεις επιπτώσεων, είναι διαθέσιμη
εδώ
.
ΠΡΩΤΑ
αποκαλύφθηκε
Το CVSS 4.0 τον Ιούνιο, κατά τη διάρκεια του 35ου ετήσιου συνεδρίου του στο Μόντρεαλ του Καναδά, ως «αλλάκτης του τομέα του κυβερνοχώρου», 18 χρόνια μετά την κυκλοφορία της έκδοσης 1 του CVSS τον Φεβρουάριο του 2005.
“Το σύστημα CVSS αναπτύχθηκε γρήγορα τα τελευταία 18 χρόνια, με κάθε έκδοση να βασίζεται στις δυνατότητές μας να υπερασπιστούμε την εγκληματικότητα στον κυβερνοχώρο. Είμαι πολύ περήφανος για το CVSS-SIG για τη σκληρή δουλειά και την αφοσίωση που χρειάστηκε για την παραγωγή της έκδοσης 4.0. Και είναι επίκαιρο καθώς συνεχίζουμε να βλέπουμε μια σημαντική αύξηση των απειλών σε όλο τον κόσμο».
είπε
Chris Gibson, Διευθύνων Σύμβουλος της FIRST.
«Ως οργανισμός μελών, στόχος μας είναι να ενδυναμώσουμε τα μέλη μας και τον κλάδο, επιδεικνύοντας ηγετικό ρόλο και διασφαλίζοντας ότι είμαστε αφοσιωμένοι στη συνεχή βελτίωση του τρόπου με τον οποίο συνεργαζόμαστε για να υπερασπιστούμε τους ανθρώπους σε όλο τον κόσμο από επιθέσεις στον κυβερνοχώρο».
Πέρυσι, η FIRST δημοσίευσε επίσης το TLP 2.0, την πιο πρόσφατη έκδοση του προτύπου Traffic Light Protocol (TLP) που χρησιμοποιείται στην κοινότητα της ομάδας αντιμετώπισης περιστατικών ασφάλειας υπολογιστών (CSIRT) κατά την κοινή χρήση ευαίσθητων πληροφοριών.
VIA:
bleepingcomputer.com
