Forum timova za odgovor na incidente i sigurnost (FIRST) je zvanično objavio CVSS v4.0, sljedeću generaciju svog standarda Common Vulnerability Scoring System, osam godina nakon CVSS v3.0, prethodne glavne verzije.
CVSS je standardizovani okvir za procjenu ozbiljnosti sigurnosnih ranjivosti softvera koji se koristi za dodjeljivanje numeričkih ocjena ili kvalitativnog predstavljanja (kao što su niski, srednji, visoki i kritični) na osnovu mogućnosti iskorištavanja, uticaja na povjerljivost, integritet, dostupnost i potrebne privilegije, s višom ocjenom koja označavaju težu ranjivost.
Pomaže u određivanju prioriteta odgovora na sigurnosne prijetnje jer pruža dosljedan način za procjenu uticaja ranjivosti i upoređivanje rizika u različitim sistemima i softveru.
“Revidirani standard nudi finiju granularnost u osnovnim metrikama za potrošače, uklanja nejasnoće u ocjenjivanju u nastavku, pojednostavljuje metriku prijetnji i poboljšava učinkovitost procjene sigurnosnih zahtjeva specifičnih za okruženje, kao i kompenzaciju kontrola”, rekao je FIRST.
„Pored toga, dodano je nekoliko dodatnih metrika za procjenu ranjivosti, uključujući automatizaciju (mogućnost crva), oporavak (otpornost), gustoću vrijednosti, napor odgovora na ranjivost i hitnost dobavljača.
“Ključno poboljšanje CVSS v4.0 je i dodatna primjenjivost na OT/ICS/IoT, sa sigurnosnim metrikama i vrijednostima koje su dodate i u dopunsku i za okolišnu metričku grupu.”
Ova najnovija verzija također dodaje novu nomenklaturu, sa osnovnim (CVSS-B), osnovnim + prijetnjama (CVSS-BT), osnovnim + okolišnim (CVSS-BE) i osnovnim + prijetnjama + okolišnim (CVSS-BTE) ocjenama ozbiljnosti.
FIRST je predstavio CVSS 4.0 u junu, tokom svoje 35. godišnje konferencije u Montrealu, Kanada, kao “game-changer u sajber sektoru”, 18 godina nakon objavljivanja CVSS verzije 1 u februaru 2005. godine.
“CVSS sistem se brzo razvijao u proteklih 18 godina, a svaka verzija se gradila na našim mogućnostima odbrane od kibernetičkog kriminala. Neizmjerno sam ponosan na CVSS-SIG zbog napornog rada i predanosti koji je bio potreban za proizvodnju verzije 4.0. I to je pravovremeno jer nastavljamo da vidimo značajan porast prijetnji širom svijeta”, rekao je Chris Gibson, izvršni direktor FIRST-a.
„Kao članska organizacija, naš cilj je da osnažimo naše članove i sektor, demonstrirajući liderstvo i osiguravajući da smo posvećeni stalnom poboljšanju načina na koji radimo zajedno kako bismo odbranili ljude širom svijeta od sajber-napada.”
Prošle godine, FIRST je takođe objavio TLP 2.0 , najnoviju verziju svog standarda Traffic Light Protocol (TLP) koji se koristi u zajednici tima za reagovanje na računarske bezbednosne incidente (CSIRT) kada deli osetljive informacije.
Izvor: BleepingComputer
