Geçen hafta yayımlanan Ortak Güvenlik Açığı Puanlama Sisteminin (CVSS sürüm 4.0) en son sürümü, kuruluşların bir güvenlik hatasının kendi ortamları için oluşturabileceği riski daha iyi değerlendirmesine ve yönetmesine olanak tanıyacak. Ancak bunun gerçekten ne kadar faydalı olacağı, güvenlik açığının daha akıllı bir şekilde önceliklendirilmesi için gereken bağlamı oluşturmak amacıyla CVSS 4.0’daki tüm yeni ölçümleri kullanma istekliliğine ve becerisine bağlı olacaktır.
Critical Start siber tehdit araştırması kıdemli yöneticisi Callie Guenther, “Önceki CVSS sürümleri daha genel bir risk değerlendirmesi sağlıyordu” diyor. “Yeni puanlar, bir güvenlik açığının mevcut tehditler ve içinde bulunduğu belirli ortam bağlamında ortaya çıkardığı gerçek riski yansıtan, dinamik ve bağlama duyarlı bir değerlendirme ihtiyacını ele alıyor.”
Boşlukları doldurmak
CVSS’nin sürdürücüsü Olay Müdahale ve Güvenlik Ekipleri Forumu (FIRST), ilk olarak bu Haziran’da Montreal’de düzenlenen FIRST yıllık konferansında önizlemesini yaptıktan sonra CVSS 4.0’ı geçen hafta resmi olarak yayınladı. Yeni sürümün en büyük katkısı, güvenlik açığı analistlerinin yalnızca bir güvenlik açığının teknik ciddiyetini veya temel puanını değil, aynı zamanda diğer çeşitli faktörleri de dikkate almasına olanak tanıyan çeşitli ölçümlerin dahil edilmesidir.
Örneğin CVSS 4.0’da, kuruluşların belirli bir güvenlik açığının ciddiyetini, kavram kanıtlama kodunun varlığı veya aktif yararlanma etkinliği gibi tehdit faktörlerine göre ayarlayabilmesine daha fazla vurgu yapılıyor. Bu, güvenlik açığı yöneticilerinin daha sonra güvenlik açığının ciddiyet puanını kendi ortamlarına göre daha da hassaslaştırmasına olanak tanır.
Ayrıca çoğu kuruluşun bir güvenlik açığının ciddiyetini değerlendirirken genellikle dikkate aldığı tek ölçüm olan temel metriğin kendisi de artık kuruluşların bir güvenlik açığı değerlendirmesi yaparken saldırı gereksinimlerini dikkate almasına olanak tanıyan iki yeni bileşen içeriyor.
Günther, “Bu farklılaştırılmış puanlar, kuruluşların doğal risk (Temel), mevcut tehdit ortamı (Temel+Tehdit) ve belirli çevresel faktörleri (Temel+Çevre) dikkate alarak çok katmanlı bir güvenlik açığı değerlendirmesi yapmasına olanak tanıyor” diyor. “Bu, daha özelleştirilmiş bir risk yönetimi yaklaşımını mümkün kılıyor.”
CVSS 4.0 ayrıca tedarik zinciri riski de dahil olmak üzere belirli bir güvenlik açığının potansiyel kapsamına daha fazla ayrıntı düzeyi ekler. Önceki sürüm (CVSS 3.1), bir güvenlik açığının sistemin gizliliği, bütünlüğü ve kullanılabilirliği üzerindeki etkisinin genelleştirilmiş bir değerlendirmesine izin veriyordu. CVSS 4.0, güvenlik açığı ve iyileştirme ekiplerine, güvenlik açığının ortamlarındaki belirli sistemler ve ona bağlı olabilecek diğer alt sistemler üzerindeki etkisini değerlendirmenin bir yolunu sağlayan ölçümler içerir.
“Sonraki” Sistemler için Daha Geniş Bağlamı Etkinleştirme
Qualys’in güvenlik araştırma müdürü Mayuresh Dani’ye göre, daha ayrıntılı bir bağlam sağlama çabasının bir kısmı kuruluşların altyapılarının yayılmasına bağlı.
Örneğin, “CVSS’nin önceki sürümlerinde Gizlilik, Bütünlük ve Kullanılabilirlik dikkate alınıyordu” diyor. “Artık, değiştirilen temel ölçümler, Savunmasız Sistem Gizliliği, Bütünlük, Kullanılabilirlik ve Sonraki Sistem Gizliliği, Bütünlük, Kullanılabilirliği içerecek şekilde daha da ayrıştırılıyor. Bu döküm, kuruluşların savunmasız sisteme ve etkilenen sonraki sistemlere dayalı olarak güvenlik açığı etkisini hesaba katmasına olanak tanıyor. “
CVSS 4.0 ayrıca, bilgi güvenliği ve güvenlik açığı yönetimi ekiplerinin ne kadar hızlı bir şekilde harekete geçmeleri gerektiğine karar vermelerine yardımcı olmak için bir güvenlik açığından otomatik olarak yararlanılıp yararlanılamayacağı veya fiziksel güvenliğe yönelik bir risk oluşturup oluşturmadığı gibi yeni bir dizi isteğe bağlı ek ölçüm sunar. bir güvenlik açığını giderin. Ek kategorideki metriklerden bazıları, yazılımdaki güvenlik açıklarının bazen fiziksel güvenliğe tehdit oluşturabildiği operasyonel teknoloji (OT) ve endüstriyel kontrol sistemi (ICS) ortamlarında özellikle yararlı olabilir.
CVSS 4.0, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğu ve FIRST’ün Exploit Tahmin Puanlama Sistemi (EPSS) gibi araçlarla birlikte kullanıldığında güvenlik açığı yönetiminde de yararlı olabilir. Ancak çoğu şey, kuruluşların bir yazılım satıcısının bir güvenlik açığı için CVSS puanını alma ve etrafındaki dahili sistemlerinden tüm ek bağlamı katmanlama becerisine bağlıdır.
Nucleus’ta kıdemli araştırmacı ve başkan yardımcısı Patrick Garrity, “Puanlama sistemlerinin çoğunlukla sihirli bir değnek olmasını umuyoruz, oysa aslında bunlar bizi genel olarak doğru yöne yönlendiren bir pusulaya benziyor” diyor. “Tehdit istihbaratı ile insan analizini birleştirmenin inanılmaz derecede değerli olabileceği nokta burasıdır. Puanlama sistemlerinin bizim adımıza tüm kararları vermesini bekleyemeyiz. Bir noktada birisinin devreye girip bazı işler yapması gerekecek.”
CVSS 4.0 Daha Yüksek Önem Puanları Sunabilir
FIRST, CVSS 3.0’ı piyasaya sürdüğünde, güvenlik açığı puanlamasında getirdiği değişiklikler, ortalama güvenlik açığı puanlarının önemli ölçüde artmasına neden oldu. 3.862 güvenlik açığı üzerinde yapılan bir Cisco araştırması, güvenlik açıkları için ortalama taban puanının CVSS 2 ölçeğinde 6,5’ten CVSS 3 ile 7,4’e yükseldiğini gösterdi. Yaklaşık 1.077 güvenlik açığı, Düşük ve Orta önem düzeyinden Yüksek ve Kritik düzeyine yükseldi ve kuruluşları bunlara daha fazla dikkat etmeye zorladı. her zaman hak edilmiş olsun ya da olmasın. Bu, CVSS 4.0’ın tanıtımıyla da olabilecek bir şey.
FIRST Haziran ayında CVSS 4.0’ın ön izlemesini yaptığında Garrity, sürüm 4.0 hesaplayıcısını kullanarak CVSS 3.0 ve 3.1 ile puanlanan güvenlik açıklarını yeniden puanladı. Egzersiz, CVSS puanlarının genel olarak artma ihtimalinin yüksek olduğunu gösterdi.
Garrity, “Yalnızca Temel Puanı kullanırsanız puanların genel olarak artması muhtemeldir” diyor. “Bu, daha fazla güvenlik açığının yüksek veya kritik olarak sınıflandırılmasına neden olabilir.” Bu nedenle kuruluşların varlık değeri, sömürülebilirlik ve diğer faktörler gibi faktörleri dikkate almaya devam etmesi gerekir. “İyileştirme önceliğini belirlemek için yalnızca CVSS temel puanına güvenmenin tavsiye edilmediğini belirtmek çok önemlidir.”
Bu, kuruluşların Ulusal Güvenlik Açığı Veritabanında (NVD) farklı CVSS sürümleri altında puanlanan güvenlik açıklarına öncelik vermesi gerektiğinde özellikle önemlidir. Garrity, “NVD’nin veritabanına CVSS 3.0 ve 3.1’i dahil etmeye devam edeceği göz önüne alındığında, infosec ve olay müdahale ekiplerinin hatalara en yeni sürüme göre öncelik vermesi gerekir” diyor. Kuruluşların, yalnızca ciddiyet puanlarına güvenmek yerine CISA KEV, EPSS gibi tehdit istihbaratı kaynaklarına ve ticari tehdit istihbaratının önceliklendirilmesine öncelik vermesi gerektiğini belirtiyor.
Günther, olay müdahale ve güvenlik açığı yönetimi ekiplerinin, her sürümdeki farklı puanlama kriterleri nedeniyle CVSS sürümleri arasındaki puanları doğrudan karşılaştırmaması gerektiğini ekliyor. Bunun yerine her bir güvenlik açığının bağlamını değerlendirmelidirler.
“CVSS 4.0 puanının 7 olması, yeni çerçevenin incelikli yaklaşımı nedeniyle 3.x puanından daha kapsamlı bir risk analizini yansıtabilir” diyor. “Aynı şey 3.x’teki yüksek puanlar ile 4.0’daki düşük puanlar arasındaki tutarsızlıklar için de geçerli; metriklerin bağlamı ve özellikleri önceliklendirmeyi tek başına puandan ziyade yönlendirmelidir.”