FIRST (Forum of Incident Response and Security Teams), ha pubblicato ufficialmente la versione 4.0 del Common Vulnerability Scoring System (CVSS), lo standard utilizzato dalle organizzazioni di tutto il mondo per valutare la gravità delle vulnerabilità di sicurezza. L’annuncio è seguito a una anteprima presentata durante la 35ª conferenza annuale di FIRST a Montréal, in Canada, avvenuta nel giugno del 2023, e a un periodo di commenti pubblici seguito da due mesi di risposte a tali commenti.
Il Common Vulnerability Scoring System (CVSS) fornisce un modo per catturare le principali caratteristiche di una vulnerabilità di sicurezza e assegnare un punteggio numerico che ne riflette la gravità tecnica per informare e fornire indicazioni ad aziende, fornitori, governo e il pubblico. Questo punteggio può essere tradotto in una rappresentazione qualitativa (come basso, medio, alto e critico) per aiutare le organizzazioni a valutare e dare priorità ai propri processi di gestione delle vulnerabilità e a preparare le difese contro gli attacchi informatici. Inoltre, questo sistema consente al consumatore di valutare anche la minaccia e l’impatto in tempo reale, fornendogli informazioni vitali per aiutarlo a difendersi da un attacco.
Quest’ultima versione 4.0 rappresenta un miglioramento significativo rispetto alle versioni precedenti e mira a fornire la massima fedeltà della valutazione della vulnerabilità sia per l’industria che per il pubblico. Le principali caratteristiche di questa versione includono:
- Maggiore precisione nelle metriche di base per i consumatori.
- Rimozione di ambiguità nei punteggi a valle.
- Semplificazione delle metriche delle minacce.
- Miglioramento dell’efficacia nella valutazione dei requisiti di sicurezza specifici dell’ambiente.
- Aggiunta di nuovi parametri per la valutazione delle vulnerabilità, tra cui Automatable, Recovery, Value Density, Vulnerability Response Effort e Provider Urgency.
- Maggiore applicabilità a sistemi OT/ICS/IoT, con metriche e valori di sicurezza aggiunti sia ai gruppi di metriche supplementari che a quelli ambientali.
Questo aggiornamento è di grande importanza per i team di sicurezza informatica e di risposta agli incidenti in tutto il mondo, poiché il panorama delle minacce informatiche diventa sempre più complesso. La nuova versione di CVSS mira a fornire una valutazione più accurata delle vulnerabilità, consentendo ai consumatori di valutare meglio la minaccia e l’urgenza dell’attacco.
Oltre a migliorare la precisione delle valutazioni, la versione 4.0 di CVSS introduce una una nuova nomenclatura per identificare al meglio la gravità delle vulnerabilità e i diversi aspetti del punteggio:
- CVSS-B: CVSS Base Score
- CVSS-BT: CVSS Base + Threat Score
- CVSS-BE: CVSS Base + Environmental Score
- CVSS-BTE: CVSS Base + Threat + Environmental Score
Chris Gibson, CEO di FIRST, ha sottolineato l’importanza del CVSS come uno strumento chiave per la difesa cyber e ha elogiato il duro lavoro e la dedizione del CVSS Special Interest Group (SIG) nel portare alla luce questa nuova versione. Data la crescente minaccia delle violazioni della sicurezza informatica, standard come il CVSS 4.0 sono fondamentali per migliorare la sicurezza su Internet e per aiutare le organizzazioni a proteggersi dagli attacchi informatici.
“Il sistema CVSS si è sviluppato rapidamente negli ultimi 18 anni, e ogni versione si basa sulle nostre capacità di difesa dalla criminalità informatica”. “Sono immensamente orgoglioso del CVSS-SIG per il duro lavoro e la dedizione necessari per produrre la versione 4.0. Ed è opportuno poiché continuiamo a vedere un aumento significativo delle minacce in tutto il mondo”.
“Come organizzazione associativa, il nostro obiettivo è dare potere ai nostri membri e al settore, dimostrando leadership e assicurandoci di impegnarci a migliorare continuamente il modo in cui lavoriamo insieme per difendere le persone in tutto il mondo dagli attacchi informatici”.