Το Forum of Incident Response and Security Teams (FIRST) κυκλοφόρησε επίσημα το CVSS 4.0, την επόμενη γενιά του προτύπου αξιολόγησης Common Vulnerability Scoring System, οκτώ χρόνια μετά το CVSS v3.0.
Δείτε επίσης: “Hello Kitty” Ransomware: Εκμεταλλεύτηκε ευπάθεια του Apache ActiveMQ ανοιχτού κώδικα
Το CVSS είναι ένα πρότυπο πλαίσιο για την αξιολόγηση της σοβαρότητας των ευπαθειών ασφάλειας λογισμικού. Χρησιμοποιείται για την ανάθεση αριθμητικών βαθμολογιών ή ποιοτικών αναπαραστάσεων (όπως χαμηλό, μεσαίο, υψηλό και κρίσιμο) βάσει της εκμεταλλευσιμότητας, της επίδρασης στην εχεμύθεια, την ακεραιότητα, τη διαθεσιμότητα και των απαιτούμενων προνομίων, με υψηλότερες βαθμολογίες να υποδηλώνουν πιο σοβαρές ευπάθειες.
Βοηθά να οργανώνονται οι ανταποκρίσεις σε απειλές ασφαλείας, καθώς παρέχει ένα συνεπές τρόπο για να αξιολογηθεί ο αντίκτυπος των ευπαθειών και να συγκριθούν οι κίνδυνοι σε διάφορα συστήματα και λογισμικά.
“Η αναθεωρημένη προδιαγραφή προσφέρει πιο λεπτομερή ακρίβεια στις βασικές μετρήσεις για τους καταναλωτές, καταργεί την ασάφεια στον υπολογισμό των βαθμολογιών στο χαμηλότερο επίπεδο, απλοποιεί τις μετρικές απειλών και ενισχύει την αποτελεσματικότητα της αξιολόγησης ειδικών απαιτήσεων ασφάλειας περιβάλλοντος καθώς και των αντίστοιχων ελέγχων αποζημίωσης“, ανέφερε η FIRST.
“Επιπλέον, έχουν προστεθεί αρκετά συμπληρωματικά μετρήσιμα για την αξιολόγηση της ευπαθείας, συμπεριλαμβανομένων των Αυτοματοποιήσιμων (ενδημικών), Ανάκτησης (ανθεκτικότητας), Πυκνότητας Αξίας, Προσπάθειας Αντίδρασης Ευπαθείας και Επείγοντος Παρόχου.“
Δείτε ακόμα: Atlassian: Προειδοποιεί για κρίσιμη ευπάθεια στο Confluence
Η τελευταία αυτή έκδοση προσθέτει επίσης μια νέα ονοματολογία, με τις βαθμολογίες σοβαρότητας Base (CVSS-B), Base + Threat (CVSS-BT), Base + Environmental (CVSS-BE) και Base + Threat + Environmental (CVSS-BTE).
Η πλήρης λίστα όλων των αλλαγών που έρχονται με το πρότυπο CVSS v4.0, περιλαμβάνοντας μεγαλύτερη λεπτομέρεια μέσω νέων μετρικών/τιμών Βάσης και καλύτερων μετρικών επιπτώσεων, είναι διαθέσιμη εδώ.
Το FIRST αποκάλυψε το CVSS 4.0 τον Ιούνιο, κατά τη διάρκεια του 35ου ετήσιου συνεδρίου του στο Μόντρεαλ του Καναδά, ως έναν “cyber sector game-changer” στον κυβερνοχώρο, 18 χρόνια μετά την κυκλοφορία του CVSS έκδοση 1 τον Φεβρουάριο του 2005.
Το προηγούμενο έτος, η FIRST δημοσίευσε επίσης το TLP 2.0, την τελευταία έκδοση του προτύπου Traffic Light Protocol (TLP) που χρησιμοποιείται στην κοινότητα των ομάδων ανταπόκρισης σε περιστατικά ασφάλειας υπολογιστών (CSIRT) κατά την κοινοποίηση ευαίσθητων πληροφοριών.
Δείτε επίσης: Cisco IOS XE: Η κρίσιμη ευπάθεια επηρεάζει πολλούς υπολογιστές
Οι πιο κοινοί τύποι ευπαθειών συστήματος περιλαμβάνουν τους εξής:
1. Ευπάθειες λογισμικού: Αυτές οι ευπάθειες συστήματος αναφέρονται σε αδυναμίες ή σφάλματα στο λογισμικό που χρησιμοποιείται στο σύστημα. Μπορεί να περιλαμβάνουν αδυναμίες ασφαλείας, μη ενημερωμένο λογισμικό ή ανεπαρκή προστασία από κακόβουλο λογισμικό.
2. Ευπάθειες δικτύου: Αυτές οι ευπάθειες αφορούν την αδυναμία προστασίας του δικτύου ενός συστήματος. Μπορεί να περιλαμβάνουν αδυναμίες στο firewall, αδυναμίες στην ασφάλεια του δρομολογητή ή αδυναμίες στην κρυπτογράφηση των δεδομένων.
3. Ευπάθειες ανθρώπινου παράγοντα: Αυτές οι ευπάθειες σχετίζονται με την ανθρώπινη συμπεριφορά και την αδυναμία των ανθρώπων να τηρούν ασφαλείς πρακτικές. Μπορεί να περιλαμβάνουν αδυναμίες στον κωδικό πρόσβασης, αδυναμίες στην αποθήκευση ή μεταφορά δεδομένων, και αδυναμίες στην αντίληψη των κινδύνων.
4. Φυσικές ευπάθειες: Αυτές οι ευπάθειες αφορούν την αδυναμία προστασίας του φυσικού περιβάλλοντος του συστήματος. Μπορεί να περιλαμβάνουν αδυναμίες στην πρόσβαση στον χώρο, αδυναμίες στην προστασία του εξοπλισμού ή αδυναμίες στην αντιμετώπιση φυσικών καταστροφών.
Κάθε είδος ευπάθειας συστήματος μπορεί να έχει σοβαρές συνέπειες για την ασφάλεια των ψηφιακών περιουσιακών στοιχείων. Είναι σημαντικό να γνωρίζουμε τους κοινούς τύπους ευπαθειών συστήματος, ώστε να μπορούμε να λάβουμε τα κατάλληλα μέτρα προστασίας.
Πηγή: bleepingcomputer
