CVSS4.0将于2023年底正式发布

通用漏洞评分系统(CVSS)是一种流行的、标准化的方法,用于评估数字系统安全漏洞的严重程度。由事件反应和安全小组论坛(FIRST)开发,它为安全专业人员提供了评估和优先排序风险的一致方法。

目前的CVSS v3.0已经运行了十多年,但因其复杂性和灵活性而受到批评。作为回应,FIRST推出了CVSS v4.0,这是一个重要的修订版,提供了更简单、更灵活、更准确的评分。该版本旨在减轻以前的限制,提供更现实的风险表示,并帮助组织更有效地确定漏洞的优先级和分配补救资源。

经过近两个月的公开预览,CVSS 4.0将准备在2023年第四季度正式推出,美国国家漏洞数据库预计将支持其发布。CVSS 4.0有来自当前版本3.1的重大更新,包括“供应商提供的紧迫性”(有点像供应商得分) ,更加关注“环境得分”,一个新的严重性得分定义,以及许多其他因素。

本文将详细介绍CVSS v4.0,阐述其主要功能、改进以及与CVSS v3.0的比较。它还将阐述采用这一新标准的好处和过程。CVSS v4.0预计将对安全从业者评估漏洞和确定漏洞优先级的方式产生重大影响。

CVSS v4.0简介

我们将重点关注最新的修订版 CVSS v4.0。这个新版本旨在纠正这些问题,提供一个更加全面、准确和上下文相关的框架,用于评估和优先考虑安全漏洞。CVSS v4.0的开发正在进行中,旨在解决这些问题,并提高评分系统的整体有效性。 

CVSS v4.0中引入的主要修订包括:

增强清晰度和简单性: CVSS v4.0旨在提供更加简化的评分过程,通过更清晰的度量指导和定义来减少主观性。这一更新有助于更准确地评估脆弱性,并促进不同组织之间的一致性。关键是完善“攻击复杂性”和“攻击需求”的概念,这有助于阐明得分过程。

更大的灵活性和适应性: 通过引入更详细的度量标准和模块化方法,CVSS v4.0允许组织根据其独特的需求和环境定制评分系统。这种适应性导致对特定组织的脆弱性的更准确的风险表示。新的框架包括操作技术和安全指标,并区分主动和被动用户交互,从而能够在不同环境下进行更精确的脆弱性评估。

改进现实世界风险的表示: CVSS v4.0旨在更好地封装与漏洞相关的实际风险。它通过考虑其他因素来实现这一目标,如开发的可能性和成功攻击的潜在后果。这个新版本强调将威胁情报和环境指标纳入评分,提供更现实的风险评估。通过包含诸如“自动化”、“恢复”和“缓解工作”等新概念进一步增强了这一点,这些概念增加了对每个漏洞的理解的深度。

CVSS v4.0对框架进行了重大的调整,例如用 Temporal metric group替换Threat metric group ,删除Remediation Level和Report Confidence metrics。这些威胁度量标准被简化和澄清; Remediation Level(RL)和Report Confidence(RC)已经退役了,Exploit “Code” Maturity被重命名为Exploit Maturity (E) ,具有更清晰的值。还引入了Base (CVSS-B)、Base + Threat (CVSS-BT)、Base + Environmental (CVSS-BE)和Base + Threat + Environmental(CVSS-BTE)的组合,这是一个新的命名法,也是一个新的补充度量群。这些变化,除其他外,提高了标准的准确性、精确性和可用性。

此外,新的补充指标组(供应商度量组)传达了不影响最终 CVSS-BTE 评分的脆弱性的额外外在属性: 

  • Safety (S) 
  • Automatable (A)
  • Recovery (R) 
  • Value Density (V) 
  • Vulnerability Response Effort (RE) 
  • Provider Urgency (U)

新方法还通过使用消费者评估的安全(MSI: S,MSA: S)和提供者评估的安全(S)补充指标,赋予 OT/ICS/Safety 额外的重点。

此外,CVSS v4.0在其框架内集成了供应商提供的严重性和影响评分,在脆弱性评分中考虑了更广泛的视角。这个特性提高了系统的包容性,使得评分过程与真实场景更加接近。

CVSS v4.0预计将对安全从业人员产生重大影响,因为它解决了当前版本的许多批评和局限性。通过增强清晰度、灵活性和对现实世界风险的更准确表示,CVSS v4.0将使组织能够更好地对漏洞进行优先排序,并为补救分配资源。 

CVSS v3.0与 v4.0的比较

对 CVSS v3.0和 v4.0之间的对比有一个全面的了解对于安全从业人员充分利用最新版本中引入的增强是至关重要的。

两个版本之间的主要差异包括:

1. 评分方法

CVSS v4.0提供了一种更加复杂的评分方法,它与现实世界的风险更加接近。通过考虑更广泛的因素,包括开发的可能性和成功攻击的潜在影响,CVSS v4.0旨在提供更全面和准确的漏洞评估。这种改进解决了以前过分强调可利用性的问题,从而产生了更加平衡的风险视角。

2. 度量群和定义的变化以及引入新概念 

CVSS v4.0引入了对度量组和定义的更新,确保更清晰的指导和减少主观性。例如,已经修订了基地指标中的可利用性和影响指标分组,以便对脆弱性特征进行更细致的评估。此外,CVSS v4.0引入了新的度量标准,捕捉风险的其他方面,例如成功攻击的潜在后果,包括对脆弱系统(VC,VI,VA)和后续系统(SC,SI,SA)的影响的明确评估。例如,它将时态度量组替换为威胁度量组,消除补救级别和报告置信度量,并引入新的补充度量组。

3. v4.0如何解决 v3.0的局限性

CVSS v4.0通过提供增强的清晰性、灵活性和适应性,直接解决了其前身的许多缺点。更新后的评分系统考虑到更广泛的组织背景和存在脆弱性的具体环境。通过更有效地捕捉现实世界的风险,CVSS v4.0可以更精确地确定漏洞的优先级,并为补救工作高效地分配资源。

4. 综合威胁情报和环境考虑

CVSS v4.0强调了上下文的重要性,要求在脆弱性评分中包含威胁情报和环境指标,同样,在 v3.0中缺少了一些东西。这样,用户就可以根据组织特定的威胁环境来理解风险。采用操作技术和安全指标以及区分主动和被动用户互动有助于对脆弱性进行更细致和现实的评估。

5.适应供应商提供的严重程度和影响评分

CVSS v4.0打开了将供应商提供的严重性和影响评分纳入框架的大门。认识到不同观点的价值,这一功能丰富了评分过程,并确保对漏洞有更全面的了解。该标准还允许供应商创建指标,使供应商能够对其产品或服务的风险提供独特的见解。这种包容性确保了一种更全面、更实用的脆弱性评分方法。

如何最好地使用 CVSS 4.0?

与它的前辈一样,CVSS 4.0旨在帮助您理解在软件开发流水线中遇到的公共漏洞和暴露(Common Vulnerability and Exposies,CVE)的影响。利用它的新功能,我们鼓励您的开发人员和 DevSecOps 团队在整个软件开发生命周期(SDLC)中尽可能频繁地使用 CVSS。版本4.0增强的清晰度、灵活性、粒度和可用性使其成为识别漏洞和评估其风险和威胁的更有价值的工具。

特别是,CVSS 4.0增强了评估环境、紧迫性和弹性等因素的能力,这将提高风险度量的准确性。UniSCA欢迎 CVSS 的这种更加基于风险和现实世界的迭代,因为它完全符合我们根据安全发现在特定环境中代表的实际威胁对其进行优先级排序的愿景。因此,了解特定漏洞在不同情况下的表现有助于建立真正的威胁严重性,并让团队更好地优先考虑那些最需要补救的漏洞。这就是版本4.0可以提供帮助的地方,也是为什么它的重复使用,甚至重新评估先前在 SDLC 中评估的漏洞,应该是有益的。

对 CVSS 的修改应该进一步改善企业在加强 AppSec 姿态时的漏洞管理。为此,我们从 CVSS 4.0被纳入 NVD 的那一天起就将支持和推广 CVSS 4.0。我们将考虑到即将到来的变化,以帮助确保我们的脆弱性数据库是尽可能准确地提供精确性和价值,从我们的基础 SCA 产品和知识库到我们的平台。

新的精确性,尤其是更好的易用性,应该使 CVSS 4.0对应用程序安全性以及检测和补救软件和应用程序安全性问题的方式更加重要。我们期待着它在今年年底正式出版。

1.https://vulcan.io/blog/cvss-v4-0-what-you-need-to-know/

2.https://www.thestack.technology/cvss-4-0-aims-for-greater-clarity-on-cybersecurity-risk/

3.https://www.codeant.cn/industry_detail?id=b1d873ab3ea2442bb20e896ae9c12843

4.www.codeant.cn