Af Eskil Sørensen, 03/11/23
FIRST har publiceret en ny version af Common Vulnerability Scoring System (CVSS v4.0).
CVSS er den metode og det scoringssystem, så man kvalitativt anvende til at finde frem til en alvorlighedsgrad af sårbarheder, der opdages i it-systemer og bl.a. bekendtgøres på National Vulnerability Database (NVD). Formålet med CVSS er at hjælpe organisationer til at vurdere sårbarheder, så de kan prioritere de sårbarheder, der kan/skal håndteres som en del af en organisations patch managementproces – og i yderste konsekvens forsvare organisationen mod eventuelle cyberangreb, hvor udnyttelse af sårbarheder er i anvendt.
Bredt anerkendt
CVSS er internationalt anerkendt og bruges over hele verden. Det var da også deltagerne ved 35. årlige FIRST-konference Montréal, der i juni i år var de første til officielt at få præsenteret den nye version af CVSS. Herefter fulgte to måneders høring og yderligere to måneders behandling af høringssvarene. Det er den såkaldte CVSS-SIG (Special Interest Group) inden for FIRST, der har drevet processen med udviklingen af CVSS4.0.
At der er kommet en ny version af CVSS er et udtryk for, at der har været et behov for at gøre vurderingen af sårbarhederne både fra producenternes side og brugernes side mere gennemskuelig.
FIRST skriver i forbindelse med offentliggørelsen, at den reviderede standard tilbyder en finere granularitet i basismålinger for forbrugere og fjerner uklarheder ved downstream-score. Med downstream menes det, der sker på den anden side af en udnyttelse og de andre systemer, der påvirkes som følgende af en udnyttelse ét sted. Standarden forenkler også målinger af trusler og gør effektiviteten af vurderingen af miljøspecifikke forhold og sikkerhedskrav bedre samt tilfører kompenserende kontroller.
Desuden er der tilføjet flere ’metrics’, dvs. kvantitative målenheder. De omfatter om sårbarhederne kan kan udnyttes af exploits med ormeegenskaber (automatable), deres modstandskraft (recovery), ’value density’, ’Vulnerability Response Effort’ og ’Provider Urgency’. Endelig fremhæves at CVSS4.0 er forbedret ifm. sårbarheder i OT/ICS/IoT-miljøer.
Sådan kan du forstå en CVSS-score.