- 13,854
- 20
- 8 Ноя 2022
С помощью новых метрик CVSS v4.0 повышает планку в оценке безопасности.
Форум команд реагирования на инциденты и безопасности (Forum of Incident Response and Security Teams, FIRST) Для просмотра ссылки Войдиили Зарегистрируйся системы оценки уязвимостей (Common Vulnerability Scoring System, CVSS ), спустя 8 лет после запуска предыдущей версии CVSS v3.0. FIRST представил CVSS 4.0 в июне на своей 35-й ежегодной конференции в Монреале, Канада.
CVSS — это унифицированная система для оценки степени опасности уязвимостей программного обеспечения, которая позволяет присваивать числовые оценки или качественные представления (например, низкие, средние, высокие и критические) на основе возможности эксплуатации, влияния на конфиденциальность, целостность, доступность и требуемые привилегии, где более высокие баллы означают более опасные уязвимости.
CVSS помогает правильно расставить приоритеты в отношении ответных мер на угрозы безопасности, поскольку система предоставляет последовательный способ оценки воздействия уязвимостей и сравнения рисков между различными системами и программным обеспечением.
Вот список ключевых изменений, внесенных в стандарт CVSS v4.0:
или Зарегистрируйся странице.
Форум команд реагирования на инциденты и безопасности (Forum of Incident Response and Security Teams, FIRST) Для просмотра ссылки Войди
CVSS — это унифицированная система для оценки степени опасности уязвимостей программного обеспечения, которая позволяет присваивать числовые оценки или качественные представления (например, низкие, средние, высокие и критические) на основе возможности эксплуатации, влияния на конфиденциальность, целостность, доступность и требуемые привилегии, где более высокие баллы означают более опасные уязвимости.
CVSS помогает правильно расставить приоритеты в отношении ответных мер на угрозы безопасности, поскольку система предоставляет последовательный способ оценки воздействия уязвимостей и сравнения рисков между различными системами и программным обеспечением.
Вот список ключевых изменений, внесенных в стандарт CVSS v4.0:
- Улучшенная детализация базовых метрик, позволяющая пользователям получать более точную оценку уязвимостей.
- Устранение неоднозначности в оценках, которые делаются на основе последующего использования оценок уязвимостей.
- Упрощение метрик угроз, чтобы облегчить понимание и использование стандарта.
- Повышение эффективности оценки с учетом специфических требований безопасности окружающей среды и компенсирующих контролей.
- Введение дополнительных метрик для оценки уязвимостей:
- Автоматизация (подверженность червям);
- Восстановление (устойчивость системы после эксплуатации уязвимости);
- Ценность (значимость ресурса, на который влияет уязвимость );
- Усилия по реагированию на уязвимость (необходимые ресурсы для решения проблемы);
- Оперативность поставщика (скорость, с которой поставщик ПО отреагирует на уязвимость).
- Дополнительная применимость стандарта к операционным технологиям (Operational Technology, OT ), промышленным системам управления (Industrial Control System, ICS ) и интернету вещей (Internet of Things, IoT ), с добавлением метрик и значений безопасности.
- Введение новой номенклатуры для классификации уязвимостей:
- CVSS-B (Base);
- CVSS-BT (Base + Threat);
- CVSS-BE (Base + Environmental);
- CVSS-BTE (Base + Threat + Environmental).
- Источник новости
- www.securitylab.ru
