FIRST anunță un nou sistem de scoring, CVSS 4.0

Forumul Echipei de Răspuns la Incidente și Securitate (FIRST) a anunțat oficial CVSS v4.0, următoarea generație a standardului Common Vulnerability Scoring System, la peste opt ani de la lansarea CVSS v3.0.

"CVSS 4.0 își propune să ofere cea mai înaltă fidelitate în evaluarea vulnerabilităților pentru industrie și public", a declarat FIRST.

CVSS oferă o modalitate de captare a caracteristicilor tehnice principale ale unei vulnerabilități și de generare a unui scor numeric ce indică severitatea acesteia, tradus în niveluri precum scăzut, mediu, ridicat și critic, ajutând organizațiile în prioritizarea gestionării vulnerabilităților.

Ultima revizuire a standardului, CVSS v4.0, adresează criticii aduse versiunii anterioare, introducând metrici suplimentare precum Siguranță (S), Automatizabil (A), Recuperare (R), Densitate a Valorii (V), Efort de Răspuns la Vulnerabilitate (RE) și Urgență a Furnizorului (U).

De asemenea, se prezintă o nouă nomenclatură pentru scorurile CVSS, utilizând combinarea de Bază (CVSS-B), Bază + Amenințare (CVSS-BT), Bază + Mediu (CVSS-BE), și Bază + Amenințare + Mediu (CVSS-BTE) pentru evaluarea gravității.

FIRST subliniază că această nomenclatură ar trebui utilizată oriunde se afișează sau se comunică o valoare numerică CVSS, evidențiind că CVSS nu se rezumă doar la scorul de bază. Se recomandă, de asemenea, completarea Scorului de Bază CVSS cu o analiză a mediului (Metrici de Mediu) și cu atribute care pot varia în timp (Metrici de Amenințare).