FIRST официально опубликовала последнюю версию общей системы оценки уязвимостей (CVSS v4.0)

Common Vulnerability Scoring System (CVSS) – это стандарт, используемый организациями по всему миру для оценки уязвимостей в системах и программном обеспечении. В июне 2023 года была представлена новая версия CVSS – CVSS 4.0. Это значительное обновление, которое приносит ряд улучшений и новых возможностей.

Вот ключевые особенности CVSS 4.0:

1. Более детальные базовые метрики: Новая версия предлагает более точные базовые метрики для оценки уязвимостей, что позволяет лучше определить их техническую тяжесть.
2. Улучшенные метрики угроз: В CVSS 4.0 упрощены метрики угроз, что упрощает оценку средовых требований безопасности.
3. Дополнительные метрики для оценки уязвимостей: В новой версии добавлены дополнительные метрики, такие как “Автоматизируемость” (возможность быстрого распространения уязвимости), “Восстановление” (способность системы восстановиться после атаки) и другие, что помогает лучше адаптировать оценку к конкретным средам.
4. Применимость к OT/ICS/IoT: CVSS 4.0 также охватывает область операционных технологий (OT), промышленных управляющих систем (ICS) и интернета вещей (IoT), что делает его более универсальным.
5. Новая номенклатура: В версии 4.0 введена новая номенклатура, включая разные типы оценок, такие как CVSS-B (базовая оценка), CVSS-BT (базовая + оценка угроз), CVSS-BE (базовая + оценка окружающей среды) и CVSS-BTE (базовая + оценка угроз + оценка окружающей среды).

Эти изменения делают CVSS 4.0 более точным и адаптированным к современным угрозам в области кибербезопасности, и они являются важным шагом вперед для команд по обеспечению безопасности в решении сложных задач в области кибербезопасности.

Критически важная для взаимодействия между поставщиком и потребителем система CVSS предоставляет способ определения основных характеристик уязвимости в системе безопасности и выдает числовую оценку, отражающую ее техническую серьезность, для информирования и предоставления рекомендаций предприятиям, поставщикам услуг, правительству и общественности.

Числовая оценка может быть представлена как качественная оценка серьезности (например, низкая, средняя, высокая и критическая), чтобы помочь организациям должным образом оценить и расставить приоритеты в своих процессах управления уязвимостями и подготовить средства защиты от кибератак.

Кроме того, эта система позволяет пользователю также оценивать угрозы и воздействие в режиме реального времени, предоставляя ему важную информацию, которая поможет защититься от атаки.

Общая система оценки уязвимостей является опубликованным стандартом, используемым организациями по всему миру, и эта последняя версия CVSS 4.0 направлена на обеспечение высочайшей точности оценки уязвимостей как для отрасли, так и для общественности.

Пересмотренный стандарт обеспечивает более детальную проработку базовых показателей для потребителей, устраняет двусмысленность оценки последующих этапов, упрощает показатели угроз и повышает эффективность оценки требований безопасности, специфичных для среды, а также компенсирующих средств контроля. Кроме того, было добавлено несколько дополнительных показателей для оценки уязвимостей, включая автоматизируемость (wormable), восстановление (resilience), плотность ценности, усилия по реагированию на уязвимости и Срочность поставщика. Ключевым улучшением CVSS v4.0 также является дополнительная применимость к OT / ICS / IoT, при этом показатели безопасности и значения добавлены как к дополнительным группам показателей, так и к группам показателей окружающей среды.

Это важная разработка для групп кибербезопасности и реагирования на инциденты по всему миру. Учитывая все более сложный ландшафт угроз, эта новая версия CVSS изменит правила игры в отрасли.

До 2005 года для определения степени серьезности использовались пользовательские, несовместимые системы оценки, прежде чем была выявлена необходимость в стандартизированных измерениях уязвимостей в программном обеспечении и на платформах. CVSS версии 1 была выпущена в феврале 2005 года, тогда ее разрабатывала небольшая группа первопроходцев с целью широкого внедрения в отрасли, а FIRST была назначена в апреле для дальнейшего развития того, что должно было стать важнейшим инструментом в арсенале отрасли.

Более дюжины ПЕРВЫХ членов Группы по особым интересам CVSS (SIG) активно сотрудничали в течение 2006 и 2007 годов над пересмотром и улучшением версии 1 CVSS путем тестирования и повторного тестирования сотен реальных уязвимостей, выпустив версию 2 в июне 2007 года.

В 2015 году третья версия доработала инструмент, введя концепцию ‘Scope’ для оценки уязвимостей, существующих в одном программном компоненте, но влияющих на отдельный программный, аппаратный или сетевой компонент.

Наконец, в июне 2019 года была выпущена версия 3.1, которая прояснила и улучшила версию 3.0 без введения новых показателей или значений, улучшив ясность концепций для повышения общей простоты использования стандарта и добавив платформу CVSS Extensions Framework.

Однако этот последний выпуск знаменует собой значительный шаг вперед с добавлением дополнительных возможностей, имеющих решающее значение для команд, в основе которых лежит использование анализа угроз и показателей окружающей среды для точной оценки.

Следует отметить еще одну функцию – номенклатуру. CVSS – это не просто базовая оценка, поэтому, чтобы еще больше подчеркнуть это, в версии 4.0 была принята новая номенклатура:

• CVSS-B: базовая оценка CVSS
• CVSS-BT: База CVSS + оценка угроз
• CVSS-BE: База CVSS + оценка окружающей среды
• CVSS-BTE: База CVSS + оценка угроз + Оценка окружающей среды

Поскольку проблемы кибербезопасности продолжают стремительно расти во всем мире, глобальная координация как никогда важна для обеспечения безопасности Интернета для всех, и создание стандартов, подобных CVSS 4.0, необходимо как для сектора, так и для общественности.

Крис Гибсон, генеральный директор FIRST, прокомментировал: “Система CVSS быстро развивалась в течение последних 18 лет, причем каждая версия основывалась на наших возможностях защиты от киберпреступности.

“Я безмерно горжусь CVSS-SIG за тяжелую работу и преданность делу, которые потребовались для создания версии 4.0. И это своевременно, поскольку мы продолжаем наблюдать значительный рост угроз по всему миру.

“Как членская организация, наша цель – расширить возможности наших членов и сектора в целом, демонстрируя лидерство и гарантируя, что мы привержены постоянному совершенствованию нашей совместной работы для защиты людей по всему миру от кибератак”.

Подробнее можно найти здесь: first.org/cvss

Author: admin