新的CVSS 4.0漏洞严重程度评级标准发布

阅读量124584

发布时间 : 2023-11-02 11:09:13

事件响应和安全团队论坛 (FIRST) 正式发布了 CVSS v4.0,这是其下一代通用漏洞评分系统标准,距上一个主要版本 CVSS v3.0 已经过去了八年。

CVSS 是一个用于评估软件安全漏洞严重性的标准化框架,用于根据可利用性、对机密性、完整性、可用性和所需权限的影响来分配数字分数或定性表示(例如低、中、高和关键),并具有更高的权限。分数表示更严重的漏洞。

通用漏洞评分系统4.0版

 

CVSS 4.0 版是下一代通用漏洞评分系统标准。CVSS v4.0 中纳入的一些更改包括:
  • 强化 CVSS 不仅仅是基本分数的概念

  • 添加了新的术语来识别基础 (CVSS-B)、基础 + 威胁 (CVSS-BT)、基础 + 环境 (CVSS-BE) 和基础 + 威胁 + 环境 (CVSS-BTE) 的组合

  • 通过添加新的基本指标和值来实现更细的粒度:

  • 新的基本指标:攻击要求 (AT)

  • 新的基本指标值:用户交互 (UI):被动 (P) 和主动 (A)

  • 增强影响指标的披露:

  • 范围已退役

  • 明确评估对脆弱系统(VC、VI、VA)和后续系统(SC、SI、SA)的影响

  • 时间指标组重命名为威胁指标组

  • 威胁指标得到简化和明确

  • 修复级别 (RL) 和报告置信度 (RC) 已停用

  • 利用“代码”成熟度重命名为利用成熟度 (E),具有更清晰的值

  • 新的补充指标组可传达漏洞的其他外在属性,这些属性不会影响最终的 CVSS-BTE 分数

  • 安全(S)

  • 自动化 (A)

  • 恢复(R)

  • 价值密度(V)

  • 漏洞响应工作 (RE)

  • 提供商紧急度 (U)

  • 更多关注 OT/ICS/安全

  • 消费者评估的安全性(MSI:S、MSA:S)

  • 提供商通过安全 (S) 补充指标评估安全
有关 CVSS v4.0 新增功能的更多信息,请点击链接 https://www.first.org/cvss/v4-0/cvss-v40-presentation.pdf获取PDF。
FIRST 表示:“修订后的标准为消费者提供了更细粒度的基本指标,消除了下游评分的模糊性,简化了威胁指标,并提高了评估特定环境安全要求以及补偿控制的有效性。
“CVSS 系统在过去 18 年中得到了快速发展,每个版本都建立在我们防御网络犯罪的能力之上。我为 CVSS-SIG 为开发 4.0 版本所付出的辛勤工作和奉献精神感到非常自豪。这是及时的,因为我们继续看到世界各地的威胁显着增加。” FIRST 首席执行官 Chris Gibson说道。
“作为一个会员组织,我们的目标是赋予我们的会员和行业权力,展示领导力并确保我们致力于不断改进我们的合作方式,以保护全球人民免受网络攻击。
去年,FIRST 还发布了 TLP 2.0,这是计算机安全事件响应团队 (CSIRT) 社区在共享敏感信息时使用的最新版本的交通灯协议 (TLP) 标准。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66