El Foro de Equipos de Seguridad y Respuesta a Incidentes (FIRST) ha anunciado oficialmente CVSS v4.0la próxima generación del estándar Common Vulnerability Scoring System, más de ocho años después del lanzamiento de CVSS v3.0 en junio de 2015.
“Esta última versión de CVSS 4.0 busca proporcionar la más alta fidelidad de evaluación de vulnerabilidad tanto para la industria como para el público”, FIRST dicho en una oracion.
Básicamente, CVSS proporciona una forma de capturar las principales características técnicas de una vulnerabilidad de seguridad y producir una puntuación numérica que indica su gravedad. La puntuación se puede traducir en varios niveles, como bajo, medio, alto y crítico, para ayudar a las organizaciones a priorizar sus procesos de gestión de vulnerabilidades.
Una de las actualizaciones principales de CVSS v3.1, liberado en julio de 2019, fue enfatizar y aclarar que “CVSS está diseñado para medir la gravedad de una vulnerabilidad y no debe usarse solo para evaluar el riesgo”.
CVSS v3.1 también tiene atrajo críticas por una falta general de granularidad en la escala de puntuación y por no representar adecuadamente los sistemas de salud, seguridad humana y control industrial.
El última revisión El estándar tiene como objetivo abordar algunas de estas deficiencias proporcionando varias métricas complementarias para la evaluación de vulnerabilidades, como Seguridad (S), Automatizable (A), Recuperación (R), Densidad de valor (V), Esfuerzo de respuesta a vulnerabilidades (RE) y Urgencia del Proveedor (U).
También presenta una nueva nomenclatura para enumerar puntuaciones CVSS utilizando una combinación de Base (CVSS-B), Base + Amenaza (CVSS-BT), Base + Ambiental (CVSS-BE) y Base + Amenaza + Ambiental (CVSS-BTE). clasificaciones de gravedad.
La idea, PRIMERO dichoes “reforzar el concepto de que CVSS no es sólo la puntuación base”, agregando “esta nomenclatura debe usarse siempre que se muestre o comunique un valor numérico de CVSS”.
“La puntuación base CVSS debe complementarse con un análisis del entorno (métricas ambientales) y con atributos que pueden cambiar con el tiempo (métricas de amenazas)”, señaló además.