新的CVSS 4.0漏洞严重程度评级标准发布

发布于 作者:

新的CVSS 4.0漏洞严重程度评级标准发布

安全客 2023-11-02 11:06

事件响应和安全团队论坛 (FIRST) 正式发布了 CVSS v4.0,这是其下一代通用漏洞评分系统标准,距上一个主要版本 CVSS v3.0 已经过去了八年。

CVSS 是一个用于评估软件安全漏洞严重性的标准化框架,用于根据可利用性、对机密性、完整性、可用性和所需权限的影响来分配数字分数或定性表示(例如低、中、高和关键),并具有更高的权限。分数表示更严重的漏洞。

通用漏洞评分系统4.0版

CVSS 4.0 版是下一代通用漏洞评分系统标准。
CVSS v4.0 中纳入的一些更改包括:
– 强化 CVSS 不仅仅是基本分数的概念

  • 添加了新的术语来识别基础 (CVSS-B)、基础 + 威胁 (CVSS-BT)、基础 + 环境 (CVSS-BE) 和基础 + 威胁 + 环境 (CVSS-BTE) 的组合

  • 通过添加新的基本指标和值来实现更细的粒度:

  • 新的基本指标:攻击要求 (AT)

  • 新的基本指标值:用户交互 (UI):被动 (P) 和主动 (A)

  • 增强影响指标的披露:

  • 范围已退役

  • 明确评估对脆弱系统(VC、VI、VA)和后续系统(SC、SI、SA)的影响

  • 时间指标组重命名为威胁指标组

  • 威胁指标得到简化和明确

  • 修复级别 (RL) 和报告置信度 (RC) 已停用

  • 利用“代码”成熟度重命名为利用成熟度 (E),具有更清晰的值

  • 新的补充指标组可传达漏洞的其他外在属性,这些属性不会影响最终的 CVSS-BTE 分数

  • 安全(S)

  • 自动化 (A)

  • 恢复(R)

  • 价值密度(V)

  • 漏洞响应工作 (RE)

  • 提供商紧急度 (U)

  • 更多关注 OT/ICS/安全

  • 消费者评估的安全性(MSI:S、MSA:S)

  • 提供商通过安全 (S) 补充指标评估安全

有关 CVSS v4.0 新增功能的更多信息,请点击阅读原文获取PDF。

FIRST 表示:
“修订后的标准为消费者提供了更细粒度的基本指标,消除了下游评分的模糊性,简化了威胁指标,并提高了评估特定环境安全要求以及补偿控制的有效性。

“CVSS 系统在过去 18 年中得到了快速发展,每个版本都建立在我们防御网络犯罪的能力之上。
我为 CVSS-SIG 为开发 4.0 版本所付出的辛勤工作和奉献精神感到非常自豪。
这是及时的,因为我们继续看到世界各地的威胁显着增加。
” FIRST 首席执行官 Chris Gibson说道。

“作为一个会员组织,我们的目标是赋予我们的会员和行业权力,展示领导力并确保我们致力于不断改进我们的合作方式,以保护全球人民免受网络攻击。

去年,FIRST 还发布了 TLP 2.0,这是计算机安全事件响应团队 (CSIRT) 社区在共享敏感信息时使用的最新版本的交通灯协议 (TLP) 标准。