Форум групп реагирования на инциденты и безопасности (FIRST) официально анонсировал CVSS v4.0, следующее поколение общего стандарта системы оценки уязвимостей, более чем через восемь лет после выпуска CVSS v3.0 в июне 2015 года.
"Эта последняя версия CVSS 4.0 направлена на обеспечение высочайшей точности оценки уязвимости как для отрасли, так и для общественности", - говорится в заявлении FIRST.
CVSS, по сути, предоставляет способ определения основных технических характеристик уязвимости в системе безопасности и получения числовой оценки, обозначающей ее серьезность. Оценка может быть переведена на различные уровни, такие как низкий, средний, высокий и критический, чтобы помочь организациям расставить приоритеты в своих процессах управления уязвимостями.
Одно из основных обновлений CVSS версии v3.1, выпущенное в июле 2019 года, должно было подчеркнуть и уточнить, что "CVSS предназначен для измерения серьезности уязвимости и не должен использоваться отдельно для оценки риска".
CVSS v3.1 также вызвал критику за общее отсутствие детализации в шкале оценок и за неспособность адекватно представить здоровье, безопасность человека и промышленные системы управления.
Последняя редакция стандарта направлена на устранение некоторых из этих недостатков путем предоставления нескольких дополнительных показателей для оценки уязвимости, таких как Безопасность (S), Автоматизируемость (A), восстановление (R), Плотность значений (V), Усилия по реагированию на уязвимости (RE) и Срочность поставщика (U).
В нем также впервые представлена новая номенклатура для подсчета баллов CVSS с использованием комбинации оценок серьезности Base (CVSS-B), Base + Угроза (CVSS-BT), Base + Окружающая среда (CVSS-BE) и Base + Угроза + Окружающая среда (CVSS-BTE).
Идея, сказал ПЕРВЫЙ, состоит в том, чтобы "укрепить концепцию, что CVSS - это не просто оценка боссов", добавив, что "эта номенклатура должна использоваться везде, где отображается или сообщается числовое значение CVSS".
"Базовая оценка CVSS должна быть дополнена анализом окружающей среды (Environmental Metrics) и атрибутами, которые могут меняться со временем (Threat Metrics)", - отмечается далее.
"Эта последняя версия CVSS 4.0 направлена на обеспечение высочайшей точности оценки уязвимости как для отрасли, так и для общественности", - говорится в заявлении FIRST.
CVSS, по сути, предоставляет способ определения основных технических характеристик уязвимости в системе безопасности и получения числовой оценки, обозначающей ее серьезность. Оценка может быть переведена на различные уровни, такие как низкий, средний, высокий и критический, чтобы помочь организациям расставить приоритеты в своих процессах управления уязвимостями.
Одно из основных обновлений CVSS версии v3.1, выпущенное в июле 2019 года, должно было подчеркнуть и уточнить, что "CVSS предназначен для измерения серьезности уязвимости и не должен использоваться отдельно для оценки риска".
CVSS v3.1 также вызвал критику за общее отсутствие детализации в шкале оценок и за неспособность адекватно представить здоровье, безопасность человека и промышленные системы управления.
Последняя редакция стандарта направлена на устранение некоторых из этих недостатков путем предоставления нескольких дополнительных показателей для оценки уязвимости, таких как Безопасность (S), Автоматизируемость (A), восстановление (R), Плотность значений (V), Усилия по реагированию на уязвимости (RE) и Срочность поставщика (U).
В нем также впервые представлена новая номенклатура для подсчета баллов CVSS с использованием комбинации оценок серьезности Base (CVSS-B), Base + Угроза (CVSS-BT), Base + Окружающая среда (CVSS-BE) и Base + Угроза + Окружающая среда (CVSS-BTE).
Идея, сказал ПЕРВЫЙ, состоит в том, чтобы "укрепить концепцию, что CVSS - это не просто оценка боссов", добавив, что "эта номенклатура должна использоваться везде, где отображается или сообщается числовое значение CVSS".
"Базовая оценка CVSS должна быть дополнена анализом окружающей среды (Environmental Metrics) и атрибутами, которые могут меняться со временем (Threat Metrics)", - отмечается далее.
