Форум команд реагирования на инциденты и обеспечения безопасности (FIRST) официально выпустил CVSS v4.0, следующее поколение стандарта Common Vulnerability Scoring System, спустя восемь лет после выхода предыдущей основной версии CVSS v3.0.
CVSS - это стандартизованная система оценки серьезности уязвимостей программного обеспечения, которая позволяет присваивать числовые или качественные оценки (такие как низкая, средняя, высокая и критическая), основанные на возможности использования, влиянии на конфиденциальность, целостность, доступность и требуемые привилегии, причем более высокие оценки означают более серьезные уязвимости.
Стандарт помогает определить приоритеты реагирования на угрозы безопасности, поскольку обеспечивает последовательный способ оценки влияния уязвимостей и сравнения рисков для различных систем и программного обеспечения.
"Пересмотренный стандарт обеспечивает более тонкую детализацию базовых показателей для потребителей, устраняет неоднозначность оценки, упрощает показатели угроз и повышает эффективность оценки требований безопасности, специфичных для конкретной среды, а также компенсирующих средств контроля", - говорится в сообщении FIRST.
"Кроме того, добавлено несколько дополнительных метрик для оценки уязвимостей, включая Automatable (червячность), Recovery (устойчивость), Value Density, Vulnerability Response Effort и Provider Urgency.
"Ключевым усовершенствованием CVSS v4.0 является также дополнительная применимость к OT/ICS/IoT: метрики и значения Safety добавлены в группы метрик Supplemental и Environmental".
В последней версии также добавлена новая номенклатура: рейтинги серьезности Base (CVSS-B), Base + Threat (CVSS-BT), Base + Environmental (CVSS-BE) и Base + Threat + Environmental (CVSS-BTE).
С полным списком всех изменений, вносимых в стандарт CVSS v4.0, включая более тонкую детализацию благодаря новым метрикам/значениям Base и улучшенным метрикам воздействия, можно ознакомиться здесь.
FIRST представила стандарт CVSS 4.0 в июне на своей 35-й ежегодной конференции в Монреале (Канада), назвав его "переломным моментом в киберсекторе", спустя 18 лет после выхода версии 1 CVSS в феврале 2005 года.
"За последние 18 лет система CVSS стремительно развивалась, и каждая ее версия расширяла наши возможности по защите от киберпреступности. Я безмерно горжусь CVSS-SIG за упорный труд и самоотверженность, которые потребовались для создания версии 4.0. И это очень своевременно, поскольку мы продолжаем наблюдать значительный рост угроз по всему миру", - сказал Крис Гибсон (Chris Gibson), генеральный директор FIRST.
"Наша цель как членской организации - расширить возможности наших членов и всего сектора, продемонстрировать лидерство и обеспечить постоянное совершенствование совместной работы по защите людей по всему миру от кибератак".
В прошлом году FIRST также опубликовала TLP 2.0, последнюю версию своего стандарта Traffic Light Protocol (TLP), используемого в сообществе команд реагирования на инциденты компьютерной безопасности (CSIRT) при обмене конфиденциальной информацией.
- Общая система оценки уязвимостей
- CVSS
- FIRST
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!