FIRST, Ortak Güvenlik Açığı Puanlama Sisteminin (CVSS 4.0) en son sürümünü açıkladı. Tedarikçi ve tüketici arasındaki arayüzde kritik öneme sahip olan CVSS, bir güvenlik açığının temel özelliklerini yakalamanın bir yolunu sunar ve işletmeleri, hizmet sağlayıcıları, devleti ve halkı bilgilendirmek ve yönlendirmek için teknik ciddiyetini yansıtan sayısal bir puan üretir.
Sayısal puan, kuruluşların güvenlik açığı yönetimi süreçlerini düzgün bir şekilde değerlendirmesine ve önceliklendirmesine ve siber saldırılara karşı savunma hazırlamasına yardımcı olmak için niteliksel bir önem derecesi (düşük, orta, yüksek ve kritik gibi) olarak temsil edilebilir.
Ayrıca bu sistem, tüketicinin gerçek zamanlı tehdit ve etkiyi değerlendirmesine olanak tanır ve onları bir saldırıya karşı savunmalarına yardımcı olacak hayati bilgilerle donatır.
Ortak Güvenlik Açığı Puanlama Sistemi
Ortak Güvenlik Açığı Puanlama Sistemi, dünya çapındaki kuruluşlar tarafından kullanılan yayınlanmış bir standarttır ve CVSS 4.0’ın bu son sürümü, hem endüstri hem de halk için güvenlik açığı değerlendirmesinin en yüksek doğruluğunu sağlamayı amaçlamaktadır.
Program, tüketiciler için temel ölçümlerde daha ince ayrıntı düzeyi sunar, aşağı akış puanlama belirsizliğini ortadan kaldırır, tehdit ölçümlerini basitleştirir ve çevreye özgü güvenlik gereksinimlerinin yanı sıra telafi edici kontrollerin değerlendirilmesinin etkinliğini artırır.
Ek olarak, güvenlik açığı değerlendirmesi için Otomatikleştirilebilir, Kurtarma, Değer Yoğunluğu, Güvenlik Açığı Müdahale Çabası ve Sağlayıcı Aciliyeti dahil olmak üzere çeşitli tamamlayıcı nitelikler eklenmiştir. Hem Ek hem de Çevresel metrik gruplarına eklenen Güvenlik metrikleri ve değerleri ile OT/ICS/IoT için ek uygulanabilirlik de vardır.
CVSS 4.0’a giden yol
Artan tehditlerle birlikte bu yeni CVSS 4.0, sektör için oyunun kurallarını değiştirecek.
2005’ten önce, yazılım ve platformlar genelinde güvenlik açığı ölçümlerini standartlaştırma ihtiyacı belirlenmeden önce önem derecesini tanımlamak için özel, uyumsuz derecelendirme sistemleri kullanılıyordu. CVSS sürüm 1, Şubat 2005’te piyasaya sürüldü ve daha sonra küçük bir grup öncü tarafından endüstri çapında benimsenme amacıyla geliştirildi ve FIRST, sektörün cephaneliğinde kritik bir araç haline gelecek olan bu aracın gelecekteki gelişimini yönlendirmek için Nisan ayında atandı.
CVSS Özel İlgi Grubunun (SIG) bir düzineden fazla FIRST üyesi, Haziran 2007’de sürüm 2’yi yayınlayan yüzlerce gerçek dünya güvenlik açığını test edip yeniden test ederek CVSS sürüm 1’i revize etmek ve iyileştirmek için 2006 ve 2007 boyunca kapsamlı bir şekilde işbirliği yaptı.
Üçüncü bir sürüm, aracı 2015 yılında daha da geliştirdi ve bir yazılım bileşeninde var olan ancak ayrı bir yazılım, donanım veya ağ bileşenini etkileyen güvenlik açıklarının puanlanması için ‘Kapsam’ kavramını tanıttı.
Son olarak, Haziran 2019’da, yeni ölçümler veya değerler getirmeden 3.0 sürümünü netleştiren ve iyileştiren, standardın genel kullanım kolaylığını iyileştirmek için kavramların netliğini iyileştiren ve CVSS Uzantıları Çerçevesini ekleyen bir sürüm 3.1 yayınlandı.
Bununla birlikte, bu son sürüm, özünde doğru puanlama için tehdit istihbaratı ve çevresel ölçümleri kullanmanın önemine sahip ekipler için çok önemli olan ek yeteneklerle ileriye doğru önemli bir adımı işaret ediyor.
Notun bir başka işlevi de terminolojidir. CVSS sadece Temel Puan değildir, bu nedenle bu yeni terminolojiyi daha da vurgulamak için sürüm 4.0’da benimsenmiştir:
- CVSS-B: CVSS Taban Puanı
- CVSS-BT: CVSS Temel + Tehdit Puanı
- CVSS-BE: CVSS Temel + Çevre Puanı
- CVSS-BTE: CVSS Temel + Tehdit + Çevre Puanı
CVSS 4.0’ı test etme
Dünyanın dört bir yanından 900 endüstri liderinin çoğu, halka açılmadan önce CVSS sürüm 4.0’ı gerçek zamanlı olarak test ediyor.
Siber güvenlik sorunları dünya çapında hızla artmaya devam ederken, interneti herkes için güvenli hale getirmek için küresel koordinasyon hiç olmadığı kadar hayati önem taşıyor ve CVSS 4.0 gibi programların oluşturulması hem sektör hem de kamu için elzem.
FIRST CEO’su Chris Gibson şu yorumu yaptı: “CVSS sistemi, son 18 yılda hızla gelişti ve her bir sürüm, siber suçluluğa karşı savunma yeteneklerimizi geliştirdi. 4.0 sürümünü üretmek için gösterdiği sıkı çalışma ve adanmışlıktan dolayı CVSS-SIG ile son derece gurur duyuyorum. Ve dünya çapında tehditlerde önemli bir artış görmeye devam ettiğimiz için tam zamanı.”