CVSS ‘Ortak Güvenlik Açığı Puanlama Sistemi’ anlamına gelir. CVSS Framework, ABD merkezli kar amacı gütmeyen bir kuruluş ‘Olay Yanıt ve Güvenlik Ekipleri Forumu’na ait açık bir siber güvenlik çerçevesidir (ilk). İlk misyonu, dünya çapında siber güvenlik müdahale ekiplerine metriklere dayalı siber güvenlik açıklarının şiddetini hızlı ve kolay bir şekilde hesaplamaktır.
Çerçevenin birden fazla sürümü ve uyarlaması yapılmıştır. En son sürüm (4.0), sömürülebilirlik, etkiler ve daha fazlası dahil olmak üzere birden fazla ortam ve boyuttaki güvenlik açıklarının şiddetini değerlendirmek ve söz konusu güvenlik açıklarının sayısal bir puanı sağlamak için tasarlanmıştır.
Puan üç kilit gruba dayanmaktadır:
1. Temel – Bu, zaman içinde ve ortamlarda sabit olan içsel öğeleri temsil eder.
2. Tehdit – Bu, zaman içinde değişen güvenlik açıklarının özelliklerini temsil eder.
3. Çevre – Bu, bir çevreye özgü güvenlik açıklarının özelliklerini temsil eder.
Tüm bu unsurlar birleştirildiğinde, metrikler, güvenlik açığı şiddeti seviyesini yansıtacak şekilde gerçek dünya saldırısı modelleri ve risk yönetimi ile oluşturulur ve hizalanır, bu da yanıt eylemlerinin önceliklendirilebileceği anlamına gelir. Bu, asırlık önceliklendirme sorunu olan kuruluşlara yardımcı olur ve onlara keşfedildikleri gibi yamaları ve güvenlik açıklarını sıralama ve notlandırma verileri verir. Bu değişiklikler, önceki sürümlere kıyasla CVSS’nin genel kullanılabilirliğini artırır.
“ Önceliklendirme ile ilgili olarak, sayısal bir CVSS skorunun yararlılığı, bu puanı oluşturmak için kaldırılan CVSS metrikleri ile doğru orantılıdır. Bu nedenle, sayısal CVSS puanları, nesillerinde kullanılan metrikleri ileten isimlendirme kullanılarak numaralandırılmalıdır.’- first.org.org.org.org
4.0 sürümünde ek bir grup var, ‘Ek’, Ve bu, metrikleri destekleyen özellikleri temsil eder. Bununla birlikte, bu tamamlayıcı materyal nihai puanı etkilemez, ancak ek bağlam sağlar.
CVSS V4.0, puanlamada iyileştirilmiş ayrıntı, gerçek dünya risk değerlendirmeleri ile daha iyi uyum ve kuruluşların daha bilinçli güvenlik kararları almasına yardımcı olan ek metrikler getiriyor. Daha net şiddet değerlendirmeleri ile, hem araştırmacılar hem de kuruluşlar daha tutarlı ve şeffaf bir değerlendirme sürecinden yararlanmaktadır. Sürüm 4.0, hafifletme çabaları ve iyileşme gibi, öğrenme, uyarlama ve büyüme yeteneğini dönüştüren ve kullanıcının ihtiyaçlarını ve zorluklarını özelleştiren yeni unsurlar getirerek gerçek dünya riskinin gelişmiş bir görünümünü ve temsilini sağlar.
CVSS V3.0 ve CVSS V4.0 arasında birçok farklılaştırıcı vardır. First.org web sitesinde verilen bilgilere göre, değişiklikler aşağıdakileri içerir:
Kapsam kaldırıldı. Kapsam kavramı, savunmasız bir sistem (VC, VI, VA) ve sonraki bir sistem (SC, SI, SA) kavramları ile değiştirildi ve her ikisinden de etkileri yakaladı.
Yazılım kütüphanelerinde (ve benzeri) güvenlik açıklarının değerlendirilmesi. Yeni rehberlik, bir kütüphanedeki güvenlik açığının etkisinin nasıl değerlendirileceğini açıklar.
Birden fazla CVSS tabanı (CVSS-B) puanı. Rehberlik, birden fazla ürün sürümünü, platformu ve/veya işletim sistemlerini etkileyen bir güvenlik açığı için birden fazla CVSS taban skorunun oluşturulmasına açıkça izin verir.
Çevre Güvenliği Gereksinimleri Metriklerini Kullanma Rehberliği. Çevre metrik grubu üç güvenlik gereksinimi metriğini içerir: savunmasız sistemin (CR) gizlilik gereksinimi, savunmasız sistemin (IR) bütünlük gereksinimi ve savunmasız sistemin (AR) kullanılabilirlik gereksinimi.
Siber güvenlik alanında birden fazla puanlama sistemi türü vardır. Birçok çerçeve uyumluluk ve düzenlemeleri karşılamak için gereklidir ve güvenlik duruşunun yuvarlak bir görünümünü sağlamak için birleştirilebilir.
· NIST – Ulusal Standartlar ve Teknoloji Çerçevesi Çerçevesi, işletmelerin tanımlanması, korunması, tespit etmesi, yanıtlaması ve kurtarılması için işlevleri kullanarak riskleri tanımlamasına, yönetmesine ve azaltmasına yardımcı olmak için geliştirilmiştir. Çerçeve başlangıçta ABD Savunma Bakanlığı için ABD tabanlı altyapıyı desteklemeye ve korumaya yönelik olsa da, şimdi dünyadaki birçok endüstride bir çerçeve olarak kullanılmaktadır.
· Mire att & ck çerçevesi – MITER ATT & CK çerçevesi, düşman taktiklerinin, tekniklerinin ve prosedürlerinin (TTP’ler) bir bilgi tabanı olarak hizmet eder ve toplulukları daha etkili güvenlik geliştirmek için bir araya getirerek daha güvenli bir dünya için sorunları çözme misyonuna sahiptir. Bu TTP’ler, küresel olarak erişilebilir hale getirilen gerçek dünya gözlemlerine dayanmaktadır ve tehdit modelleri ve metodolojilerinin temeli olarak kullanılmaktadır. Bu model özel sektörde ve devlet kuruluşlarında yoğun bir şekilde kullanılmaktadır.
· Opasp– Açık Web Uygulama Güvenlik Projesi, en kritik web uygulama risklerinin ‘en iyi 10’ listesini sağlayarak yazılımın güvenliğini artırmayı amaçlayan bir temeldir. Güvenlik araştırmacıları ve böcek ödül avcıları, OWASP ilk 10’u en kritik web uygulaması güvenlik riskini tanımlamak için resmi sıralama olarak görürler. Bu konuda daha fazla bilgi edinin.
· EPSS– İstismar tahmin puanlama sistemi, vahşi doğada bir güvenlik açığının hedeflenme olasılığını tahmin etmek için önce oluşturuldu. Amaç, güvenlik açıklarına öncelik vermek, şiddet önlemleri sağlamak ve tehdit bilgileri ile gerçek dünya istismar verileri arasındaki boşluğu kapatmaktır. Model, her bir güvenlik açığının olasılığı için bir puan sağlanacak şekilde formüle edilir. Sayı ne kadar yüksek olursa, güvenlik açığından yararlanma olasılığı o kadar yüksek olur.
· Korkmak– ‘Hasar, tekrarlanabilirlik, sömürülebilirlik, etkilenen kullanıcılar ve keşfedilebilirlik’, daha önce tanımlanmış olan tehditlerin ciddiyetini değerlendirmek için Microsoft tarafından oluşturulan bir çerçevedir. Skor tabanlı sistem, belirlenen tehdidin potansiyel şiddetini ölçmek için kullanılır. Genellikle ‘saldırı simülasyonu süreci’ (makarna) ve ‘sahtekarlık, kurcalama, reddetme, bilgi ifşası, hizmet reddi ve ayrıcalık yüksekliği’ (adım) çerçevelerle birlikte çalışır.
Bu çerçevelerin her birinin kendi esası vardır. Ancak CVSS 4.0’ı güvenlik açığı puanlaması için faydalı kılan şey, etki metriklerinin görünürlüğünü ve ayrıntı düzeyini sağlamak için yeni temel metriklerin ve değerlerin eklenmesidir.
CVSS V3.0 hesap makinesi güvenilir bir standart olsa da, CVSS V4.0, müşterilere güvenlik açıklarını değerlendirme ve önceliklendirme konusunda daha fazla esneklik sağlayan kesin ve kapsamlı bir güvenlik açığı değerlendirmesi sağlar ve gelişen güvenlik ihtiyaçları ve risk yönetimi stratejileri ile uyumludur.
CVSS 4.0’ın piyasaya sürülmesiyle, amacımız müşterilere güvenlik açıklarını değerlendirmede iyileştirilmiş doğruluk sunmak ve iyileştirme çabalarına daha etkili bir şekilde öncelik vermelerine yardımcı olmaktır. CVSS 4.0’ın gelişmiş puanlama sistemi, daha hassas güvenlik açığı değerlendirmeleri sağlar, bu da araştırmacılar için ödüllerin daha iyi hizalanmasını teşvik eder ve kuruluşların iyileştirme ve kaynak tahsisi ile ilgili daha bilinçli kararlar vermelerini sağlar.
Yannick Merckx, Ürün Pazarlama MüdürüIntigriti’de de
Platformumuzun sadece en iyi uygulamalar ve gelişmekte olan standartlarla uyumlu olmasını sağlamakla kalmayıp aynı zamanda gelecekteki talepleri de öngörmek için endüstri eğilimlerini ve gelişen müşteri ihtiyaçlarını izlemeye devam edeceğiz. CVSS 4.0 artık müşteri tabanımızın önemli bir kısmı tarafından kapsamlı bir şekilde test edilip zaten benimsenmişken, gerekli araçları ve platform geliştirmelerini sağlayarak bu geçiş boyunca bunları desteklemeye tamamen kararlıyız.
Hesap makinesi tüm Intigriti müşterileri tarafından kullanılabilir. Yapılandırma şirket düzeyinde ayarlanır, yani kuruluş içindeki tüm programlar yeni şiddet değerlendirme yöntemini benimser. Şirketler hazır olduklarında CVSS 4.0’a geçebilir.
CVSS 4.0’ı benimsememiz hakkında daha fazla bilgi için buradan ekibe başvurun.