Der Standard CVSS 4.0 wurde veröffentlicht
Das Common Vulnerability Scoring System (CVSS) ist ein offener Standard für die Bewertung des Schweregrads von Sicherheitslücken in der Computertechnik. CVSS-Scores werden von Organisationen und Einzelpersonen auf der ganzen Welt verwendet, um Prioritäten bei der Behebung von Sicherheitslücken zu setzen und fundierte Entscheidungen über die Sicherheit zu treffen.
Am 1. November 2023 veröffentlichte das Forum of Incident Response and Security Teams (FIRST) die CVSS-Version 4.0, die letzte große Überarbeitung des Standards. CVSS 4.0 führt eine Reihe neuer Funktionen und Verbesserungen ein, die die Genauigkeit und Relevanz der CVSS-Bewertungen in der heutigen komplexen und sich weiterentwickelnden Bedrohungslandschaft verbessern sollen.
CVSS 4.0 ist eine bedeutende Aktualisierung des Standards, und es ist wichtig, dass Unternehmen so bald wie möglich mit der Vorbereitung und Implementierung beginnen.
Die wichtigsten neuen Funktionen von CVSS 4.0
CVSS 4.0 enthält eine Reihe neuer Funktionen und Verbesserungen, die die Genauigkeit und Relevanz von CVSS-Scores in der heutigen komplexen und sich weiterentwickelnden Bedrohungslandschaft verbessern sollen.
Einige der wichtigsten neuen Funktionen sind:
Feinere Granularität: CVSS 4.0 führt neue Basismetriken und Submetriken zur Ausnutzbarkeit ein, die eine feinere Granularität im Bewertungsprozess ermöglichen. Dies ermöglicht eine präzisere und genauere Bewertung des Schweregrads von Sicherheitslücken.
Unterstützung für mehrere Exploit-Vektoren: CVSS 4.0 unterstützt jetzt mehrere Exploit-Vektoren für eine einzige Schwachstelle. Dies ist wichtig, da Schwachstellen auf unterschiedliche Weise ausgenutzt werden können und der Schweregrad einer Schwachstelle je nach Ausnutzungsvektor variieren kann.
Neue Gruppe von Umweltmetriken: CVSS 4.0 führt eine neue Gruppe für Umgebungsmetriken ein, die es Unternehmen ermöglicht, ihre spezifische Umgebung und Sicherheitslage bei der Berechnung der CVSS-Scores zu berücksichtigen. Dies trägt dazu bei, dass die CVSS-Scores dem individuellen Risikoprofil des Unternehmens besser entsprechen.
Verbesserte Integration mit Bedrohungsdaten: CVSS 4.0 ist enger mit Bedrohungsdaten integriert, so dass Unternehmen Echtzeitinformationen über aktive Bedrohungen in ihre Schwachstellenbewertungen einbeziehen können. Dies trägt dazu bei, dass die CVSS-Scores die aktuelle Bedrohungslage besser widerspiegeln.