May 16

CVSS 4.0

Подробный разбор: PDF, зеркало PDF

Мир кибербезопасности пополнился последней и самой совершенной версией общей системы оценки уязвимостей CVSS версии 4.0. Эта новая версия обещает произвести революцию в том, как мы оцениваем критичность и влияние уязвимостей программного обеспечения, потому что очевидно, что версия 3.1 была всего лишь разминкой.

Давайте углубимся в новаторские улучшения.

Более детализированные базовые показатели. Потому что, если есть что-то, что любят профессионалы в области кибербезопасности, так это детализация. Теперь мы не только можем оценить воздействие на уязвимую систему, но и потратить тысячу листов на детализацию, это уже серьёзный уровень профессионализма

Группа угроз — теперь серьёзность уязвимости могут быть скорректированы в зависимости от того, мог ли кто-то где-то подумать о их использовании. Это гарантирует, что наша паранойя всегда подкрепляется последними данными об угрозах.

Метрики окружения позволяют адаптировать оценку к нашей конкретной вычислительной среде. Потому что ничто так не говорит о “индивидуальности”, как корректировка оценок на основе множества мер по смягчению последствий, которые, как мы надеемся, работают так, как задумано.

Гениальным образом показатели угроз были упрощены до уровня зрелости эксплойтов. Потому что если и есть что-то, что легко определить, так это то, насколько зрелым является эксплойт.

Система подсчёта оценки стала проще и гибче. Да, вы не ослышались. Проще. Потому что, если и есть какое-то слово, которое сообщество кибербезопасности ассоциирует с CVSS, так это простота.

И для тех, кто почувствовал себя обделённым, CVSS версии 4.0 теперь поддерживает несколько оценок для одной и той же уязвимости. Потому что зачем иметь одну оценку, когда можно иметь несколько?

Итак, CVSS версии 4.0 призван спасти положение благодаря своей повышенной ясности, простоте и повышенному вниманию ко всем мелочам и деталям. Потому что, как мы все знаем, единственное, что доставляет больше удовольствия, чем оценка уязвимостей, — это делать это с помощью новой, более сложной системы.