ÖZETLE
- FIRST, CVSS standardının dördüncü bölümünü yayınladı.
- CVSS v4.0, OT (Operasyonel Teknoloji), ICS (Endüstriyel Kontrol Sistemleri) ve IoT (Nesnelerin İnterneti) teknolojilerine üstün uygulanabilirlik sunar.
- Yeni sürüm, güvenlik uzmanlarının güvenlik açıklarının ciddiyetini doğru bir şekilde değerlendirmesine yardımcı olacak birçok yeni ayar ve özellik içeriyor.
- Sürüm 4.0, temel ölçümlerde daha ayrıntılı bir yapıya sahiptir, aşağı yöndeki puanlama belirsizliğini ortadan kaldırır ve tehdit ölçümlerini basitleştirir.
- FIRST ayrıca, Güvenlik açığı değerlendirmesi için tamamlayıcı ölçümler ve Tamamlayıcı ve Çevresel ölçüm grupları için güvenlik ölçümleri de ekledi.
Kâr amacı gütmeyen kolektif Olay Müdahale ve Güvenlik Ekipleri Forumu (FIRST), Ortak Güvenlik Açığı Puanlama Sisteminin (CVSS) yeni sürümü olan CVSS 4.0’ı yayınladı. İlk görünümü Montréal’deki 35. Yıllık FIRST Konferansında açıklandı. Kanada.
CVSS, güvenlik uzmanlarının yazılımdaki güvenlik açıklarının önem düzeyini ölçmek için kullandığı bir standarttır. Bir güvenlik kusurunun temel özelliklerini yakalamak için kullanılır. Düşük, orta, yüksek veya kritik önem derecesine sahip bir kusur olup olmadığını yansıtan sayısal bir puanla önem düzeyini belirtir. Bu, devlet kurumlarının, işletmelerin, genel halkın ve hizmet sağlayıcıların koruyucu önlemleri buna göre uygulamaları konusunda uyarılmasına yardımcı olur.
CVSS v4.0’daki önemli değişiklikler şunları içerir:
Tüketiciler için temel metriklerde daha ayrıntılı ayrıntı düzeyi:
CVSS 4.0, müşterilere güvenlik açıklarını puanlama yöntemleri üzerinde daha ayrıntılı bir kontrol sunar; böylece puanlama sistemini kendi özel ihtiyaçlarına göre uyarlayabilir ve güvenlik açıklarını gerçek zamanlı olarak değerlendirebilirler.
Aşağı yönlü puanlama belirsizliğinin ortadan kaldırılması:
CVSS 3.0 ve önceki sürümler kusursuz değildi ve aşağı yöndeki güvenlik açıklarının puanlanması gerektiğinde puanlamada bazı belirsizlik potansiyeli vardı. Ancak yeni sürüm, aşağı yöndeki güvenlik açıklarının puanlanması konusunda kapsamlı rehberlik sunarak belirsizlik olasılığını ortadan kaldırıyor.
Tehdit ölçümlerinin basitleştirilmesi:
Yeni sürüm, tehdit ölçümlerini basitleştirmek ve tüketicilerin puanlama sistemini anlamasını/kullanmasını kolaylaştırmak için tek bir ölçümde birleştiriyor.
Güvenlik açığı değerlendirmesi için ek ölçümler:
CVSS v4.0, güvenlik açıklarını değerlendirmek için ek ek ölçümler sunar. Bunlar arasında Otomatikleştirilebilir, Değer Yoğunluğu, Kurtarma, Sağlayıcı Aciliyeti ve Güvenlik Açığı Müdahale Çabası yer alır. Bu yeni ölçümler, güvenlik açıklarına ilişkin genişletilmiş bilgiler sunarak güvenlik uzmanlarının iyileştirme çabaları hakkında bilinçli kararlar alabilmesini sağlar.
OT/ICS/IoT’ye artan uygulanabilirlik:
Yeni CVSS sürümü, Güvenlik metrikleri ve değerlerinin Tamamlayıcı ve Çevresel metrik gruplarına eklenmesi nedeniyle OT/ICS/IoT sistemlerine daha uygulanabilir. Bu, bu sistemlerde bulunan kusurların doğru şekilde puanlanmasına yardımcı olur.
Temel puan:
Yeni sürüm, güvenlik açığının bütünlük, gizlilik, kullanılabilirlik, yararlanılabilirlik ve kapsam (bu, güvenlik açığının etkileyebileceği sistem ve kullanıcı sayısı anlamına gelir) üzerindeki etkisi de dahil olmak üzere belirli faktörleri inceleyen yeni bir formülle temel puanı hesaplıyor.
Geçici puan:
Zamansal puan artık güvenlik açığının yaşını ve açıklardan yararlanma olanağını dikkate alacak. CVSS 4.0 aracılığıyla herhangi bir güvenlik açığının mevcut tehdit durumunu kontrol etmek ve buna göre koruma önlemlerini değiştirmek mümkündür.
Dikkate değer bir diğer özellik ise CVSS’nin artık sadece Temel çekirdek olmayacağından terminolojinin değiştirilmesidir. İşte yeni terminolojiye genel bir bakış.
- § CVSS-B: CVSS Temel Puanı
- § CVSS-BT: CVSS Tabanı + Tehdit Puanı
- § CVSS-BE: CVSS Tabanı + Çevresel Puan
- § CVSS-BTE: CVSS Tabanı + Tehdit + Çevresel Puan
Genel olarak CVSS v4.0, önceki sürümlere kıyasla önemli iyileştirmeler sunan güçlü bir pakettir ve kuruluşlara yazılımdaki güvenlik açıklarını değerlendirmek için daha doğru ve kapsamlı bir mekanizma sağlar.
FIRST, “Bu son sürüm, özünde doğru puanlama için tehdit istihbaratı ve çevresel ölçümleri kullanmanın önemiyle birlikte ekipler için hayati önem taşıyan ek yeteneklerle ileriye doğru atılmış önemli bir adıma işaret ediyor” dedi.
Yeni sürümle ilgili daha fazla ayrıntıyı burada bulabilirsiniz.