CVSSv4即将来临:安全专家需要知道

排名的最新修订行业标准的漏洞有一些变化,从业者会发现有用的。在这里,我们将讨论,以及成立的计划来实现其产品的评分系统。

想象两个漏洞。当地特权升级一个缺陷,允许经过身份验证的攻击者获得你的Windows工作站和服务器管理访问权限。另一个远程代码执行疲软的ssl vpn接口面向internet防火墙。虽然存在一个严重的风险,开发要求攻击者,如果成功,提供访问和影响组织可能取决于架构和防御。你会如何决定你会优先考虑哪一个?

这是一个从业人员经常面临挑战。在2022年,国家漏洞数据库发表了一平均68.75的漏洞每天常见的漏洞和风险敞口(CVE)号码。即使一些含有这些漏洞是在您的环境中,你会得到非常桩几周后。

站得住脚的发表了指导风险告知脆弱性管理在过去,这种做法仍然是有价值的捍卫者控风险管理,特别是与优先级漏洞修复。这个过程始于检查核心漏洞的严重性——这就是普通危险得分系统,或CVSS进来。

关于CVSS

创立以来由美国国家基础设施顾问委员会(NIAC) 2005年,CVSS已经被全球从业者定量测量漏洞带来的风险在他们的环境。它是维护的事件反应和安全队论坛(第一个)。比较两个漏洞的风险的挑战,考虑他们的离散特性,确定哪些值得更直接的关注,缓解分类描述属性的脆弱性以及每个属性的测量系统。

它的使用非常简单。传统的创造者一个脆弱的产品,或者一个漏洞的发现者,考虑其特定品质和使用和发展基础分数,概述了缺陷的性质,只有技术漏洞的事实范围。这个基础分数代表了严重程度的弱点。

修饰符可以应用这个基础分数从业者来衡量变化的威胁景观的开发利用工作,例如,以及脆弱的目标在一个特定的计算环境。这些修饰符帮助改变比分从纯粹的严重性的指标风险评分的脆弱性是一个特定的组织或网络。这些因素的计算提供了一个最后的得分在0.0和10.0之间,然后可以使用,除此之外,比较和stack-rank一套漏洞修复优先级。

CVSS版本4的变化

在首次出版以来,几个主要系统发布了版本的更新2,3,和3.1代表了其历史上的里程碑,以3.1为当前活动发布。最新的更新,CVSS版本4,最近进入公共预览版阶段,首先将从安全社区收集反馈。目标最终规范的发布日期是10月1日,2023年。

这是在CVSSv4更新标准的关键。

命名法

”男人,你听说那个疯狂的新的弱点在你手机的操作系统,这是一个CVSS 10”是评论你可能会听到从安全专业今天,考虑到只有基础分数,往往歪曲其意义。我们发现很少有组织采取额外的步骤申请额外的脆弱性指标基本CVSS分数,而不一定对其影响故事的全部。为了鼓励这些指标的应用,CVSSv4引入了新的术语使用在谈到分数,这些指标包括:

• CVSS-B: CVSS基础分数
• CVSS-BT: CVSS分数基地+威胁
• CVSS-BE: CVSS基地+环境得分
• CVSS-BTE: CVSS +基地+威胁环境得分

所以一听到“CVSS 10脆弱性”的一个同事,其他个人谈话可能会问“CVSS-B分数吗?“我们并不预期主要跳伞的口语使用比较“CVSS,“但在专业写的漏洞,我们希望采用额外的上下文。

基础指标变化

漏洞的基本属性是描述其基本可利用性指标:攻击向量,攻击的复杂性,特权要求和用户交互。让我们仔细看看两种:攻击的复杂性和用户交互。

扩大在攻击复杂度的概念,引入了一个名为攻击的新二元指标要求。如果攻击要求设置现在,这意味着一个脆弱的目标必须有特定的条件,允许剥削。一个例子可能是如果一个管理文件传输应用程序必须被配置为允许一个特定的协议的开发工作,这是无法访问的默认配置。如果攻击需求指标设置没有一个,这通常意味着产品是可利用的在任何州或配置。

改变了用户交互的基本指标。在之前的版本中,这是一个二元指标的选择没有一个或必需的,表示一个人是否需要采取一些行动来促进开发。在CVSSv4,要求被分成两个新的指标,注意互动是否被动或活跃的。被动的相互作用通常是无意识的,不需要有意识的决定由用户(说,执行程序登录到一个应用程序)。积极的交互是故意由目标用户(例如,禁用一个操作系统)的安全特性。

最后,这一变化可能是庆祝频繁CVSS用户——指标范围已经退休了。在之前的版本中,测量了脆弱性的影响范围以外的产品被得分;例如,如果一个弱点在web应用程序中也影响了浏览器客户机用来访问它。在概念上很有趣,经常使用它被认为是令人困惑和难以衡量。CVSSv4,影响到机密性、完整性和可用性的脆弱系统和显式地定义为后续的系统没有一个,低或高。

时间是退休的威胁指标

长期时间度量,它既改变弱点改变周围的防御和进攻的情况下,已经更名为威胁指标和减少到只有一个选项,描述了利用成熟,使用以下选项:

• 未报告的——这意味着没有被利用或概念验证(PoC)代码可用
• PoC——这意味着PoC已经见过,但是没有被用来构建一个可靠的利用在实际使用的攻击
• 攻击——这意味着剥削已经观察到在实际的攻击
• 没有定义,这意味着这个指标尚未确定

当然,这意味着不再考虑是否有一个正式的修复或解决方案是可用的,或者漏洞是由供应商证实。这可能是社交媒体的增长的函数,用于快速传播新闻的漏洞,漏洞和补丁,不存在当CVSSv1和v2被释放。确认开发或补丁不再需要等待几小时或几天,和显然不再是衡量风险的主要因素。

一个新的关注安全

现代network-all-the-things说明性的方法和操作技术的患病率(OT)和物联网(物联网)的资产在企业环境中,添加了新的指标代表不仅仅是机密性的影响,机器和数据的完整性和可用性,而是人类的安全。

如果一个脆弱的开发可以影响人类安全的环境中,环境得分为后续系统的完整性和随后的系统可用性可以设置安全(S),这将导致更高的分数比如果设置高。如果漏洞被利用的禁用工厂消防系统,例如,你会设置后续系统可用性安全而不是高。同样,如果开发了相同的消防系统总是阅读房间的温度72度,你会设置后续系统完整性度量安全而不是高。

一个新的补充指标也促成了这个评价。如果一个系统漏洞影响设计和实施安全措施的目的,这可以通过设置安全指标可以忽略不计(如果破坏性后果可以忽略不计)现在(高于可以忽略不计)。注意,这些都是与所标明的危害国际安全标准所描述的系统iec - 61508。我们觉得这是一个有价值的系统,并希望它会鼓励使用CVSS增加了供应商的技术产品所使用的行业来说,安全是头等大事,像制造业和医疗保健。

额外的补充指标

除了安全之外,其他添加了新的指标,在一个类别称为补充指标——CVSS的第一。这些补充指标的特点是,他们中没有一个人修改最后CVSS分数——他们只是包括以便消费者相关的评分和评级可以意识到这些特定的条件。新指标包括:

• 安全(S):上面所描述的那样,漏洞的可能性,介绍物理伤害人吗?
• 自动化(AU)剥削的脆弱性是自动化吗?
• 恢复(R):从开发自动恢复受影响的系统?用户需要参与吗?还是无法恢复系统?
• 价值密度(V):有多宝贵的资源开发后提供给攻击者吗?他们是最小,即一组low-privilege凭证(扩散),或者高,即访问所有目录的凭证(集中)?
• 漏洞响应工作(重新)回复:什么是预期的努力成功利用系统(低/中/高)?可能有助于把这个计时,即反应的努力(L),分钟,小时(M),或几天(H)。
• 提供者紧迫性(U):供应商通知客户或用户的一个漏洞,包括CVSS分数,提供者可以添加的颜色描述的评估脆弱性的紧迫性,明确绿色、琥珀色或红色。

CVSSv4站得住脚的产品

CVSS是一个流行的系统以其冠军和评论家的青睐。虽然站得住脚的提供了脆弱性优先级评级(冲程体积)得分在其产品优越的度量对于理解曝光了一个漏洞,我们的客户,我们认识到,CVSS是一种工业标准和适当的镜头通过该漏洞可以被评估。

与先前的迭代,站得住脚的计划支持CVSSv4在其产品。具体细节是很快,但是客户可以使用CVSSv4分数以类似的方式对现有使用CVSSv3和v2。我们正在等待这个公共预览后的最终设计规范从第一期完成我们自己的实现。

更多细节CVSSv4和参与公共预览,查看第一的v4页面,以及它表示第一次会议在新版本上。计算器可以用来测试得分的漏洞利用公共预览版的指标也可用。快乐的得分。

了解更多

• 阅读站得住脚的社区的帖子:CVSS分数站得住脚的产品
• 查看站得住脚的博客系列:思想的差距
• 达到速度站得住脚的脆弱性优先级评级:冲程体积是什么和它是如何不同于CVSS吗