Olay Müdahale ve Güvenlik Ekipleri Forumu (FIRST), önceki ana sürüm olan CVSS v3.0’dan sekiz yıl sonra, Ortak Güvenlik Açığı Puanlama Sistemi standardının yeni nesli olan CVSS v4.0’ı resmi olarak yayınladı.
CVSS, sömürülebilirlik, gizlilik üzerindeki etki, bütünlük, kullanılabilirlik ve gerekli ayrıcalıklara dayalı olarak sayısal puanlar veya niteliksel temsil (düşük, orta, yüksek ve kritik gibi) atamak için kullanılan, yazılım güvenliği açıklarının ciddiyetini değerlendirmek için standartlaştırılmış bir çerçevedir. puanlar daha ciddi güvenlik açıklarını ifade eder.
Güvenlik açıklarının etkisini değerlendirmek ve farklı sistem ve yazılımlardaki riskleri karşılaştırmak için tutarlı bir yol sağladığından, güvenlik tehditlerine verilen yanıtların önceliklendirilmesine yardımcı olur.
FIRST, “Revize edilen standart, tüketiciler için temel ölçümlerde daha ayrıntılı ayrıntı sunuyor, aşağı yönlü puanlama belirsizliğini ortadan kaldırıyor, tehdit ölçümlerini basitleştiriyor ve çevreye özgü güvenlik gereksinimlerinin yanı sıra telafi edici kontrollerin değerlendirilmesinin etkinliğini artırıyor” dedi.
“Ayrıca, Otomatikleştirilebilir (solunabilir), Kurtarma (esneklik), Değer Yoğunluğu, Güvenlik Açığı Yanıt Çabası ve Sağlayıcı Aciliyeti dahil olmak üzere güvenlik açığı değerlendirmesi için çeşitli ek ölçümler eklendi.
“CVSS v4.0’daki önemli bir gelişme, Güvenlik ölçümleri ve değerlerin hem Tamamlayıcı hem de Çevresel ölçüm gruplarına eklenmesiyle OT/ICS/IoT’ye ek uygulanabilirliktir.”
Bu son sürüm aynı zamanda Temel (CVSS-B), Temel + Tehdit (CVSS-BT), Temel + Çevresel (CVSS-BE) ve Temel + Tehdit + Çevresel (CVSS-BTE) önem derecelerine sahip yeni bir terminoloji de ekler.
Yeni Temel metrikler/değerler ve daha iyi etki metrikleri aracılığıyla daha ayrıntılı ayrıntı da dahil olmak üzere CVSS v4.0 standardıyla birlikte gönderilen tüm değişikliklerin tam listesine buradan ulaşabilirsiniz.
FIRST, Şubat 2005’te CVSS sürüm 1’in yayınlanmasından 18 yıl sonra, CVSS 4.0’ı Haziran ayında Montréal, Kanada’da düzenlenen 35. yıllık konferansında “siber sektörde ezber bozan” olarak tanıttı.
“CVSS sistemi son 18 yılda hızla gelişti ve her sürüm siber suçluluğa karşı savunma yeteneklerimizi temel aldı. 4.0 sürümünü üretmek için gösterdiği sıkı çalışma ve özveriden dolayı CVSS-SIG ile son derece gurur duyuyorum. Ve FIRST CEO’su Chris Gibson, dünya genelinde tehditlerde önemli bir artış görmeye devam ettiğimiz için bunun tam zamanı olduğunu söyledi.
“Bir üyelik kuruluşu olarak amacımız, üyelerimizi ve sektörü güçlendirmek, liderlik göstermek ve dünya genelindeki insanları siber saldırılara karşı korumak için birlikte çalışma şeklimizi sürekli olarak geliştirmeye kararlı olmamızı sağlamaktır.”
Geçtiğimiz yıl FIRST, hassas bilgilerin paylaşılması sırasında bilgisayar güvenliği olay müdahale ekibi (CSIRT) topluluğunda kullanılan Trafik Işığı Protokolü (TLP) standardının en son sürümü olan TLP 2.0’ı da yayınladı.