Das Forum of Incident Response and Security Teams (FIRST) hat offiziell CVSS v4.0 vorgestellt, die neueste Version des Common Vulnerability Scoring System Standards, acht Jahre nach der Veröffentlichung von CVSS v3.0.
CVSS bietet ein standardisiertes Rahmenwerk zur Bewertung der Schwere von Software-Sicherheitslücken. Es wird verwendet, um numerische Scores oder qualitative Einstufungen (wie niedrig, mittel, hoch und kritisch) basierend auf Ausnutzbarkeit, Auswirkungen auf Vertraulichkeit, Integrität, Verfügbarkeit und benötigte Privilegien zuzuweisen. Höhere Werte weisen auf schwerwiegendere Sicherheitslücken hin.
Das System unterstützt die Priorisierung von Reaktionen auf Sicherheitsbedrohungen, indem es eine konsistente Methode bietet, die Auswirkungen von Sicherheitslücken zu bewerten.
Die aktualisierte Version bietet laut FIRST genauere Basis-Metriken, beseitigt Unsicherheiten bei der Bewertung, vereinfacht Bedrohungsmetriken und verbessert die Effektivität der Bewertung spezifischer Sicherheitsanforderungen. Neu hinzugefügt wurden auch Metriken wie „Automatable“, „Recovery“, „Value Density“ und „Provider Urgency“.
Ein wesentliches Update von CVSS v4.0 ist die zusätzliche Anwendbarkeit auf OT/ICS/IoT, einschließlich neuer Sicherheitsmetriken.
Die neue Version führt auch eine neue Nomenklatur ein: CVSS-B, CVSS-BT, CVSS-BE und CVSS-BTE.
CVSS 4.0 wurde erstmals im Juni auf der 35. jährlichen Konferenz von FIRST in Montréal, Kanada, präsentiert und als „bahnbrechende Neuerung im Cyber-Sektor“ bezeichnet, 18 Jahre nach der Einführung der CVSS-Version 1 im Jahr 2005.
Chris Gibson, CEO von FIRST, betonte die rasche Entwicklung des CVSS-Systems in den letzten 18 Jahren und lobte das CVSS-SIG-Team für seine harte Arbeit bei der Erstellung von Version 4.0.
Im letzten Jahr veröffentlichte FIRST auch TLP 2.0, die neueste Version seines Traffic Light Protocol Standards, der von Sicherheitsteams bei der Weitergabe sensibler Informationen genutzt wird.