Siber güvenlik uzmanları ve üreticileri tarafından yazılım açıklarına ilişkin verileri iletmek için kullanılan Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) çerçevesi önemli revizyonlardan geçiyor. CVSS 4.0, yedi yıl içinde çerçeveye yapılan ilk önemli yükseltmeyi işaret ederek, artık genel ön izleme için kullanılabilir. Kuruluşların güvenlik açığı yönetimi prosedürlerini doğru bir şekilde değerlendirmesine ve önceliklendirmesine ve siber saldırılara karşı savunma hazırlamasına yardımcı olmak için sayısal puan, niteliksel bir önem derecesi (düşük, orta, yüksek ve kritik gibi) olarak gösterilebilir.
Ek olarak, kullanıcıya gerçek zamanlı tehlike ve etkiyi değerlendirme yeteneği sağlanır ve onlara bir saldırıya karşı kendilerini savunmalarına yardımcı olacak önemli veriler sağlanır. CVSS Taban Puanlarının bir risk değerlendirme yöntemi olarak (yetersiz) yaygın kullanımıyla ilgili endişeler dile getirildi ve bu durum, riskin nasıl değerlendirildiğini geliştirmek için önemli çabalar sarf eden CVSS 4.0’ın geliştirilmesine yol açtı. Ayrıca, Operasyonel Teknoloji (OT) için ek yönergeler ve çok çeşitli tamamlayıcı önlemler sağlar; bunlardan biri “Güvenlik Açığı Müdahale Çabası” ve “düşük, orta veya yüksek” olarak derecelendirilir.
Bununla birlikte, en son güncelleme, oyunun bu yönünün merkezinde yer alan doğru puanlama için tehdit bilgilerini ve çevresel ölçümleri entegre etme gerekliliği ile ekipler için gerekli olan artırılmış yeteneklerle ileriye doğru büyük bir adımı temsil ediyor.
İsimlendirme de dikkate alınması gereken önemli bir işlevdir. CVSS yalnızca Taban Puanla sınırlı değildir; bu nedenle, bu yeni terminolojiyi daha da vurgulamak için 4.0 sürümüne dahil edilmiştir:
CVSS-B, CVSS Taban Puanı anlamına gelir.
CVSS Temel artı Tehdit Puanı anlamına gelen CVSS-BT
CVSS-BE kısaltması, CVSS Temel artı Çevresel Puan anlamına gelir.
CVSS Temel, Tehdit ve Çevre Puanı, CVSS-BTE olarak kısaltılır.
Siber güvenlikle ilgili endişeler dünya çapında hızla yayılmaya devam ederken, interneti herkes için güvenli tutma çabasında küresel işbirliği hiç bu kadar önemli olmamıştı. Ayrıca CVSS 4.0 gibi programların geliştirilmesi hem sektör hem de genel halk için gereklidir.
“Bir yazılım güvenlik açığından 30 gün içinde yararlanılma olasılığını tahmin etmeye yönelik veri odaklı bir çaba” olarak tanımlanan Exploit Prediction Scoring System (EPSS) ve Paydaşlara Özel Güvenlik Açığı Kategorizasyonu (SSVC). “güvenlik açığı yönetimi sırasında eylemleri önceliklendirmek için bir karar ağacı sistemi” olarak tanımlanan her ikisi de CVSS 4.0’ın beta sürümü kullanıma sunulmadan önce piyasaya sürüldü.
Şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışan bilgi güvenliği uzmanı.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.