LANÇADO NOVO PADRÃO DE CLASSIFICAÇÃO DE GRAVIDADE DE VULNERABILIDADE CVSS 4.0

 

O Fórum de Equipes de Segurança e Resposta a Incidentes (FIRST) lançou oficialmente o CVSS v4.0, a próxima geração de seu padrão Common Vulnerability Scoring System, oito anos após o CVSS v3.0, a versão principal anterior.

CVSS é uma estrutura padronizada para avaliar a gravidade de vulnerabilidades de segurança de software usada para atribuir pontuações numéricas ou representação qualitativa (como baixa, média, alta e crítica) com base na explorabilidade, impacto na confidencialidade, integridade, disponibilidade e privilégios necessários, com maior pontuações denotando vulnerabilidades mais graves.

Ajuda a priorizar as respostas às ameaças à segurança, pois fornece uma maneira consistente de avaliar o impacto das vulnerabilidades e comparar os riscos em diferentes sistemas e softwares.

“O padrão revisado oferece granularidade mais fina nas métricas básicas para os consumidores, remove a ambigüidade de pontuação downstream, simplifica as métricas de ameaças e aumenta a eficácia da avaliação dos requisitos de segurança específicos do ambiente, bem como dos controles de compensação”, disse FIRST.

“Além disso, foram adicionadas diversas métricas suplementares para avaliação de vulnerabilidades, incluindo Automatização (wormable), Recuperação (resiliência), Densidade de Valor, Esforço de Resposta à Vulnerabilidade e Urgência do Provedor.

"Um aprimoramento importante do CVSS v4.0 é também a aplicabilidade adicional a OT/ICS/IoT, com métricas e valores de segurança adicionados aos grupos de métricas Suplementares e Ambientais."

Esta versão mais recente também adiciona uma nova nomenclatura, com classificações de severidade Base (CVSS-B), Base + Ameaça (CVSS-BT), Base + Ambiental (CVSS-BE) e Base + Ameaça + Ambiental (CVSS-BTE).

​A lista completa de todas as alterações enviadas com o padrão CVSS v4.0, incluindo granularidade mais refinada por meio de novas métricas/valores de base e melhores métricas de impacto, está disponível aqui.

A FIRST revelou o CVSS 4.0 em junho, durante sua 35ª conferência anual em Montreal, Canadá, como uma "viradora de jogo no setor cibernético", 18 anos após o lançamento da versão 1 do CVSS em fevereiro de 2005.

"O sistema CVSS desenvolveu-se rapidamente nos últimos 18 anos, com cada versão baseada em nossas capacidades de defesa contra a criminalidade cibernética. Estou imensamente orgulhoso do CVSS-SIG pelo trabalho árduo e pela dedicação que foi necessário para produzir a versão 4.0. E é oportuno, pois continuamos a ver um aumento significativo nas ameaças em todo o mundo", disse Chris Gibson, CEO da FIRST.

“Como organização associativa, o nosso objetivo é capacitar os nossos membros e o setor, demonstrando liderança e garantindo que nos dedicamos a melhorar continuamente a forma como trabalhamos juntos para defender as pessoas em todo o mundo contra ataques cibernéticos”.

No ano passado, a FIRST também publicou o TLP 2.0, a versão mais recente de seu padrão Traffic Light Protocol (TLP) usado na comunidade da equipe de resposta a incidentes de segurança de computadores (CSIRT) ao compartilhar informações confidenciais.

Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/new-cvss-40-vulnerability-severity-rating-standard-released/

Fonte: https://www.bleepingcomputer.com

 

Achou esse artigo interessante? Siga Samir News em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.

#samirnews #samir #news #boletimtec #lançado #novo #padrão #de #classificação #de #gravidade #de #vulnerabilidade #cvss #4.0