FIRST anunță CVSS 4.0 – Noul sistem de evaluare a vulnerabilităților

Forum of Incident Response and Security Teams (FIRST) a anunțat oficial CVSS v4.0, următoarea generație a standardului Common Vulnerability Scoring System, la mai bine de opt ani de la lansarea CVSS v3.0, în iunie 2015.

În esență, CVSS oferă o modalitate de a capta principalele caracteristici tehnice ale unei vulnerabilități de securitate și de a produce un scor numeric care denotă severitatea acesteia.

Scorul poate fi de diferite niveluri, cum ar fi scăzut, mediu, high și critic, pentru a ajuta la prioritizarea proceselor de gestionare a vulnerabilităților.

CVSS v3.1 a atras, de asemenea, critici pentru o lipsă generală de granularitate în scara de notare și pentru că nu a reprezentat în mod adecvat sănătatea, siguranța umană și sistemele de control industrial.

Cea mai recentă revizuire a standardului urmărește să abordeze unele dintre aceste probleme, oferind mai mulți parametri suplimentari pentru evaluarea vulnerabilității, cum ar fi Siguranța (S), Automatizabil (A), Recuperarea (R), Densitatea valorii (V), Efortul de răspuns la vulnerabilitate (RE) și Urgența furnizorului (U).

De asemenea, debutează o nouă nomenclatură pentru a enumera scorurile CVSS folosind o combinație de ratinguri de gravitate Base (CVSS-B), Base + Threat (CVSS-BT), Base + Environmental (CVSS-BE) și Base + Threat + Environmental (CVSS-BTE).

De asemenea, FIRST a declarat că ideea este de a consolida conceptul că CVSS nu este doar scorul de bază, adăugând că această nomenclatură ar trebui utilizată ori de câte ori este afișată sau comunicată o valoare numerică CVSS.

Scorul de bază CVSS ar trebui să fie completat cu o analiză a mediului (Environmental Metrics) și cu atribute care se pot schimba în timp (Threat Metrics).

Sursă: https://thehackernews.com/2023/11/first-announces-cvss-40-new.html