Запуск CVSS 4.0: новый стандарт для более точной оценки уязвимостей

Форум команд реагирования на инциденты и безопасности (Forum of Incident Response and Security Teams, FIRST) официально анонсировал выпуск версии 4.0 системы оценки уязвимостей (Common Vulnerability Scoring System, CVSS), спустя 8 лет после запуска предыдущей версии CVSS v3.0. FIRST представил CVSS 4.0 в июне на своей 35-й ежегодной конференции в Монреале, Канада.

CVSS — это унифицированная система для оценки степени опасности уязвимостей программного обеспечения, которая позволяет присваивать числовые оценки или качественные представления (например, низкие, средние, высокие и критические) на основе возможности эксплуатации, влияния на конфиденциальность, целостность, доступность и требуемые привилегии, где более высокие баллы означают более опасные уязвимости.

CVSS помогает правильно расставить приоритеты в отношении ответных мер на угрозы безопасности, поскольку система предоставляет последовательный способ оценки воздействия уязвимостей и сравнения рисков между различными системами и программным обеспечением.

Вот список ключевых изменений, внесенных в стандарт CVSS v4.0:

1. Улучшенная детализация базовых метрик, позволяющая пользователям получать более точную оценку уязвимостей.
2. Устранение неоднозначности в оценках, которые делаются на основе последующего использования оценок уязвимостей.
3. Упрощение метрик угроз, чтобы облегчить понимание и использование стандарта.
4. Повышение эффективности оценки с учетом специфических требований безопасности окружающей среды и компенсирующих контролей.
5. Введение дополнительных метрик для оценки уязвимостей:
• Автоматизация (подверженность червям);
• Восстановление (устойчивость системы после эксплуатации уязвимости);
• Ценность (значимость ресурса, на который влияет уязвимость);
• Усилия по реагированию на уязвимость (необходимые ресурсы для решения проблемы);
• Оперативность поставщика (скорость, с которой поставщик ПО отреагирует на уязвимость).
6. Дополнительная применимость стандарта к операционным технологиям (Operational Technology, OT), промышленным системам управления (Industrial Control System, ICS) и интернету вещей (Internet of Things, IoT), с добавлением метрик и значений безопасности.
7. Введение новой номенклатуры для классификации уязвимостей:
• CVSS-B (Base);
• CVSS-BT (Base + Threat);
• CVSS-BE (Base + Environmental);
• CVSS-BTE (Base + Threat + Environmental).

Полный список всех изменений, внесённых в стандарт CVSS v4.0, включая более точное разграничение посредством новых базовых метрик/значений и улучшенных метрик воздействия, доступен на этой странице.